Bei einem Datenverstoß gegen das Rentensystem in San Francisco wurden möglicherweise persönliche Finanzinformationen von 74.000 Mitgliedern veröffentlicht
Die Stadt San Francisco hatte nicht die besten Monate, wenn es um Cybersicherheit geht. Zuerst haben Cyberkriminelle im März einige Websites des internationalen Flughafens von San Francisco gehackt, und jetzt gab das San Francisco Employees Retirement System (SFERS) bekannt, dass einige Daten seiner Mitglieder möglicherweise kompromittiert wurden.
Table of Contents
Was ist passiert?
Laut einer in der vergangenen Woche veröffentlichten Meldung über Datenschutzverletzungen sind rund 74.000 Menschen von dem Vorfall betroffen. Für aktive SFERS-Mitglieder umfassen die offengelegten Details Namen, Privatadressen, Geburtsdaten sowie die persönlichen Daten der designierten Begünstigten. Die Hacker hatten möglicherweise auch Zugriff auf einige IRS-Formulare und Bankleitzahlen von pensionierten SFERS-Mitgliedern und -Kontinuanten, und der Hinweis besagte, dass Benutzernamen und Sicherheitsfragen und -antworten für die Website der Agentur möglicherweise ebenfalls kompromittiert wurden.
Die offengelegten Daten enthalten keine Sozialversicherungsnummern, Bankkontonummern oder Kreditkartendaten. Dennoch ist das Risiko eines Identitätsdiebstahls für die betroffenen Personen sehr real, weshalb ihnen ein Jahr Identitätsdiebstahl angeboten wird Schutz kostenlos. Aus Vorsicht hat SFERS auch ein Zurücksetzen des Passworts für betroffene Konten erzwungen.
Wer war verantwortlich?
Neben der Benachrichtigung über Datenschutzverletzungen veröffentlichte SFERS auch eine FAQ-Seite. Es gibt ein "Wie ist das passiert?" Frage, aber leider gibt es uns keine technischen Details darüber, was schief gelaufen ist. Es heißt jedoch, dass 10up Inc, ein Auftragnehmer, der mit der Entwicklung und Wartung des Online-Dienstes von SFERS beauftragt wurde, für den Verstoß verantwortlich ist.
Anscheinend hat 10up vor einiger Zeit einen Testserver eingerichtet, um neue Funktionen auszuprobieren und den Service zu verbessern. Anstatt Dummy-Daten zum Testen zu verwenden, hat der Anbieter jedoch einen Schnappschuss der SFERS-Datenbank vom August 2018 hochgeladen, der voll mit persönlichen Informationen von Personen war.
"Eine externe Partei" hat am 24. Februar unbefugten Zugriff auf den Server erhalten, aber 10up hat erst am 21. März von dem Verstoß erfahren. Fünf Tage später informierte der Anbieter SFERS darüber, und jetzt informiert die Agentur alle.
Der Grund für die verspätete Offenlegung ist laut Mitteilung die Untersuchung, die unmittelbar nach Aufdeckung des Vorfalls begann. Nach dieser Untersuchung können SFERS und 10up nicht definitiv sagen, ob die Hacker die Datenbank heruntergeladen haben, während sie Zugriff darauf hatten.
War es vermeidbar?
Die offiziellen Ankündigungen geben uns keine genaue Vorstellung davon, was schief gelaufen ist und warum, und SFERS scheint entschlossen zu sein, zu diesem Zeitpunkt keine technischen Informationen preiszugeben. Aus diesem Grund ist es schwierig zu beurteilen, wie schlimm der Fehler war und wie leicht er hätte vermieden werden können.
Es muss gesagt werden, dass dies für die Personen, deren persönliche Daten offengelegt wurden, keinen großen Unterschied macht. Sie müssen sich darauf konzentrieren, etwas vorsichtiger zu sein und auf Anzeichen von Identitätsdiebstahl zu achten.
