Μια παραβίαση δεδομένων σε έναν κατασκευαστή εξοπλισμού ζωντανής εκδήλωσης αποκαλύπτει τα προσωπικά και οικονομικά δεδομένα των υπαλλήλων
Την περασμένη εβδομάδα, η TAIT Towers Manufacturing LLC, κατασκευαστής εξοπλισμού για ζωντανές εκδηλώσεις και συναυλίες που συνεργάστηκε με τους Lady Gaga και Taylor Swift, εξέδωσε μία από αυτές τις δηλώσεις όπου πρέπει να εξηγήσει πώς παίρνει την ασφάλεια των δεδομένων πολύ σοβαρά. Όπως πολλοί από εσάς γνωρίζετε, οι εταιρείες το κάνουν μόνο αφού έχουν υποστεί παραβίαση δεδομένων.
Η επίθεση πραγματοποιήθηκε πριν από περίπου τέσσερις μήνες τον Φεβρουάριο, αλλά η εταιρεία δεν το έμαθε μέχρι τις 6 Απριλίου. Αφού ενημερώθηκε για την παραβίαση, ξεκίνησε αμέσως μια έρευνα, η οποία συνεχίζεται. Ωστόσο, το TAIT ήταν αρκετά ευγενικό για να μοιραστεί μαζί μας (και τους ανθρώπους που επηρεάστηκαν άμεσα από την επίθεση) τι συνέβη.
Table of Contents
Οι εισβολείς παραβίασαν έναν λογαριασμό διακομιστή TAIT και λογαριασμούς email υπαλλήλων
Στις 16 Φεβρουαρίου, ένα μη εξουσιοδοτημένο μέρος παραβίασε έναν από τους διακομιστές της TAIT και τους λογαριασμούς email ορισμένων από τους υπαλλήλους της εταιρείας. Μόλις μπουν μέσα, οι χάκερς είχαν πρόσβαση σε πολλά προσωπικά στοιχεία του προσωπικού TAIT, συμπεριλαμβανομένων ονομάτων, φυσικών και διευθύνσεων ηλεκτρονικού ταχυδρομείου, ημερομηνιών γέννησης, αριθμών κοινωνικής ασφάλισης και αριθμών οικονομικών λογαριασμών. Η TAIT έκλεισε την παράβαση, προσέλαβε μια εταιρεία ασφάλειας στον κυβερνοχώρο για να βοηθήσει στην έρευνα και άρχισε να εργάζεται για την εφαρμογή μέτρων για να διασφαλίσει ότι παρόμοια συμβάντα δεν θα συμβούν στο μέλλον.
Η εταιρεία είναι διαμαρτυρημένη ότι δεν έχει δείξει κανένα στοιχείο κακής χρήσης των δεδομένων, αλλά για να είναι ασφαλή, είναι έτοιμη να παρέχει δωρεάν στους πληγέντες υπαλλήλους υπηρεσίες προστασίας κλοπής ταυτότητας. Η δήλωση παρέχει πολλές λεπτομέρειες σχετικά με το τι πρέπει να κάνουν οι άνθρωποι για να ανταποκριθούν σε αυτήν την προσφορά.
Λείπουν πάρα πολλά κομμάτια του παζλ
Όπως αναφέραμε ήδη, η έρευνα συνεχίζεται, γεγονός που υποδηλώνει ότι ακόμη και το TAIT δεν έχει ακόμα την πλήρη εικόνα. Τούτου λεχθέντος, λείπουν τόσες πολλές λεπτομέρειες από τη δήλωση της περασμένης εβδομάδας, ότι ο αριθμός των ερωτηθέντων ερωτήσεων υπερβαίνει αυτόν που απαντήθηκε.
Δεν γνωρίζουμε, για παράδειγμα, πόσους λογαριασμούς email δέχτηκαν επίθεση. Δεν υπάρχει καμία πληροφορία σχετικά με τον αριθμό των εργαζομένων που επηρεάζονται, και δεν γνωρίζουμε καν αν η επίθεση στοχεύει άτομα σε μια συγκεκριμένη περιοχή ή αν επηρέασε τα γραφεία της TAIT σε ολόκληρο τον κόσμο. Η μέθοδος που χρησιμοποιούν οι χάκερ για να θέσουν σε κίνδυνο τα συστήματα πληροφορικής του TAIT είναι επίσης άγνωστη, πράγμα που σημαίνει ότι είναι δύσκολο να πούμε πόσο εξελιγμένοι είναι οι αντίπαλοι και πόσο άσχημα θα μπορούσαν να είναι οι συνέπειες. Αυτό δεν είναι το μόνο πρόβλημα.
Σχετικά με αυτό “παίρνουμε την ασφάλεια πολύ σοβαρά” δήλωση
Οι εταιρείες συχνά επικρίνονται για την υποβολή των ειδοποιήσεων παραβίασης δεδομένων τους με μια φράση boilerplate που δεν κάνει πολύ καλή δουλειά για να πείσει τους ανθρώπους ότι ο επιτιθέμενος οργανισμός "παίρνει την ασφάλεια πολύ σοβαρά." Η δήλωση δεν φέρνει πραγματικά καμία αξία στην ειδοποίηση, και σε ορισμένες περιπτώσεις, φαίνεται εντελώς κοίλη.
Για παράδειγμα, τα άτομα που είναι υπεύθυνα για την ασφάλεια του TAIT υπέβαλαν την ίδια ακριβή αξίωση, ωστόσο απέτυχαν να διασφαλίσουν ότι ο ιστότοπος της εταιρείας φορτώνεται από HTTPS από προεπιλογή. Επίσης, καυχιέται για το σύστημα ελέγχου ταυτότητας πολλών παραγόντων που έχουν εισαγάγει. Ο έλεγχος ταυτότητας πολλών παραγόντων υπάρχει εδώ και χρόνια και έχει αποδειχθεί ως ο απλούστερος τρόπος εξασφάλισης καλύτερης προστασίας δεδομένων. Δεδομένης της ευαισθησίας και του όγκου των δεδομένων που χειρίζεται η TAIT, η εταιρεία θα έπρεπε πιθανώς να είχε σκεφτεί να τα εφαρμόσει πριν από την επίθεση των κυβερνοεγκληματιών παρά μετά από αυτήν.
Συνολικά, η ειδοποίηση παραβίασης του TAIT αποδεικνύει ότι το να λέτε ότι παίρνετε σοβαρά την ασφάλεια είναι πιο εύκολο από το να το κάνετε.
