Una violación de datos del sistema de pensiones de San Francisco puede haber expuesto información financiera personal de 74,000 miembros
La ciudad de San Francisco no ha tenido los mejores meses en lo que respecta a la ciberseguridad. Primero, en marzo, los ciberdelincuentes piratearon un par de sitios web del Aeropuerto Internacional de San Francisco, y ahora, el Sistema de Retiro de Empleados de San Francisco (SFERS) anunció que algunos de los datos de sus miembros podrían haber sido comprometidos.
Table of Contents
¿Que pasó?
Según una notificación de violación de datos publicada la semana pasada, el incidente afecta a alrededor de 74 mil personas. Para los miembros activos de SFERS, los detalles expuestos incluyen nombres, domicilios, fechas de nacimiento, así como los datos personales de los beneficiarios designados. Es posible que los piratas informáticos también hayan tenido acceso a algunos formularios del IRS y números de ruta bancaria de miembros y continuos retirados de SFERS, y el aviso decía que los nombres de usuario y las preguntas y respuestas de seguridad para el sitio web de la agencia también pueden haber sido comprometidas.
Los datos expuestos no incluyen números de seguro social, números de cuentas bancarias o detalles de tarjetas de crédito, pero aun así, el riesgo de robo de identidad es muy real para las personas afectadas, por lo que se les ofrece un año de robo de identidad. Protección gratis. Por precaución, SFERS también ha forzado un restablecimiento de contraseña para las cuentas afectadas.
¿Quién fue el responsable?
Junto con la notificación de violación de datos, SFERS también publicó una página de preguntas frecuentes. Hay un "¿Cómo sucedió esto?" pregunta, pero desafortunadamente, no nos da ningún detalle técnico sobre lo que salió mal. Sin embargo, sí dice que 10up Inc, un contratista contratado para desarrollar y mantener el servicio en línea de SFERS, es responsable de la violación.
Aparentemente, hace algún tiempo, 10up configuró un servidor de prueba para probar nuevas funciones y mejorar el servicio. Sin embargo, en lugar de utilizar datos ficticios para realizar pruebas, el proveedor subió una instantánea de agosto de 2018 de la base de datos de SFERS que estaba llena de información personal de las personas.
"Una parte externa" obtuvo acceso no autorizado al servidor el 24 de febrero, pero 10up no se enteró de la violación hasta el 21 de marzo. Cinco días después, el vendedor informó a SFERS al respecto, y ahora, la agencia está informando a todos.
Según la notificación, la razón de la divulgación tardía es la investigación, que comenzó inmediatamente después de que se descubrió el incidente. Después de dicha investigación, SFERS y 10up no pueden decir definitivamente si los piratas informáticos descargaron la base de datos mientras tenían acceso a ella.
¿Fue evitable?
Los anuncios oficiales no nos dan una idea precisa de qué salió mal y por qué, y SFERS parece decidido a no revelar ninguna información técnica en este momento. Debido a esto, es difícil evaluar qué tan grave fue el error y con qué facilidad se pudo haber evitado.
Hay que decir que para las personas que han expuesto sus datos personales, esto realmente no hace mucha diferencia. En lo que deben enfocarse es en ser un poco más cuidadosos y estar atentos a los signos de robo de identidad.
