Una violación de datos en un evento en vivo El fabricante del equipo revela los datos personales y financieros de los empleados

TAIT Towers Data Breach

La semana pasada, TAIT Towers Manufacturing LLC, un fabricante de equipos para eventos en vivo y conciertos que ha trabajado con personas como Lady Gaga y Taylor Swift, emitió una de esas declaraciones donde tiene que explicar cómo se toma muy en serio la seguridad de los datos. Como muchos de ustedes probablemente saben, las empresas lo hacen solo después de haber sufrido una violación de datos.

El ataque realmente tuvo lugar hace unos cuatro meses en febrero, pero la compañía no se enteró hasta el 6 de abril. Después de que se dio cuenta de la violación, inmediatamente comenzó una investigación, que todavía está en curso. Sin embargo, TAIT tuvo la amabilidad de compartir con nosotros (y las personas directamente afectadas por el ataque) lo que sucedió.

Los piratas informáticos comprometieron un servidor TAIT y las cuentas de correo electrónico de los empleados

El 16 de febrero, una parte no autorizada comprometió uno de los servidores de TAIT y las cuentas de correo electrónico de algunos de los empleados de la compañía. Una vez dentro, los piratas informáticos obtuvieron acceso a una gran cantidad de datos personales del personal de TAIT, incluidos nombres, direcciones físicas y de correo electrónico, fechas de nacimiento, números de Seguro Social y números de cuentas financieras. TAIT cerró la brecha, contrató a una compañía de ciberseguridad para ayudar con la investigación y comenzó a trabajar en la implementación de medidas para garantizar que no ocurran incidentes similares en el futuro.

La compañía es inflexible en cuanto a que no ha visto evidencia de uso indebido de ninguno de los datos, pero para estar segura, está lista para proporcionar a los empleados afectados servicios de protección contra el robo de identidad de forma gratuita. La declaración brinda muchos detalles sobre lo que las personas deben hacer para aceptar TAIT en esa oferta.

Faltan demasiadas piezas del rompecabezas

Como ya mencionamos, la investigación aún está en curso, lo que sugiere que incluso TAIT aún no tiene la imagen completa. Dicho esto, faltan tantos detalles de la declaración de la semana pasada, que el número de preguntas planteadas excede el de las respondidas.

No sabemos, por ejemplo, cuántas cuentas de correo electrónico fueron atacadas. Tampoco hay información sobre el número de empleados afectados, y ni siquiera sabemos si el ataque se dirigió a personas en una región específica o si afectó a las oficinas de TAIT en todo el mundo. También se desconoce el método utilizado por los piratas informáticos para comprometer los sistemas de TI de TAIT, lo que significa que es difícil decir qué tan sofisticados son los adversarios y qué tan graves podrían ser las consecuencias. Este no es el único problema.

Sobre esa declaración de “nos tomamos la seguridad muy en serio”

Las empresas a menudo son criticadas por proporcionar sus notificaciones de violación de datos con una frase repetitiva que no hace un muy buen trabajo para convencer a las personas de que la organización atacada "se toma muy en serio la seguridad". La declaración realmente no aporta ningún valor a la notificación y, en algunos casos, parece francamente hueca.

Por ejemplo, las personas a cargo de la seguridad de TAIT hicieron el mismo reclamo exacto, sin embargo, no se aseguraron de que el sitio web de la empresa cargue bajo HTTPS de forma predeterminada. También se jactaban del sistema de autenticación multifactor que habían introducido. La autenticación multifactor ha existido durante años y ha demostrado ser la forma más sencilla de garantizar una mejor protección de datos. Dada la sensibilidad y el volumen de los datos que maneja TAIT, la compañía probablemente debería haber pensado en implementarlos antes del ataque de los ciberdelincuentes en lugar de después.

En general, la notificación de incumplimiento de TAIT demuestra que decir que se toma en serio la seguridad es más fácil que hacerlo.

June 16, 2020
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.