Une violation des données du système de retraite de San Francisco peut avoir révélé des informations financières personnelles de 74 000 membres
La ville de San Francisco n'a pas connu les meilleurs mois en matière de cybersécurité. Tout d'abord, en mars, les cybercriminels ont piraté quelques sites Web de l'aéroport international de San Francisco, et maintenant, le système de retraite des employés de San Francisco (SFERS) a annoncé que certaines données de ses membres pouvaient avoir été compromises.
Table of Contents
Qu'est-il arrivé?
Selon une notification de violation de données publiée la semaine dernière, l'incident affecte environ 74 000 personnes. Pour les membres actifs de SFERS, les détails exposés comprennent les noms, adresses domiciliaires, dates de naissance, ainsi que les données personnelles des bénéficiaires désignés. Les pirates peuvent également avoir eu accès à certains formulaires IRS et numéros de routage bancaire des membres et des continuants retraités de SFERS, et l'avis indiquait que les noms d'utilisateur et les questions et réponses de sécurité pour le site Web de l'agence pouvaient également avoir été compromis.
Les données exposées n'incluent aucun numéro de sécurité sociale, numéro de compte bancaire ou détails de carte de crédit, mais même ainsi, le risque de vol d'identité est très réel pour les personnes concernées, c'est pourquoi on leur propose un an de vol d'identité protection gratuite. Par prudence, SFERS a également forcé une réinitialisation du mot de passe pour les comptes concernés.
Qui était responsable?
Parallèlement à la notification de violation de données, SFERS a également publié une page FAQ. Il y a un "Comment est-ce arrivé?" question, mais malheureusement, il ne nous donne aucun détail technique sur ce qui a mal tourné. Il indique cependant que 10up Inc, un entrepreneur engagé pour développer et maintenir le service en ligne de SFERS, est responsable de la violation.
Apparemment, il y a quelque temps, 10up a mis en place un serveur de test afin d'essayer de nouvelles fonctionnalités et d'améliorer le service. Au lieu d'utiliser des données factices à des fins de test, cependant, le fournisseur a téléchargé un instantané d'août 2018 de la base de données de SFERS qui était plein d'informations personnelles.
"Un tiers" a obtenu un accès non autorisé au serveur le 24 février, mais 10up n'a été informé de la violation que le 21 mars. Cinq jours plus tard, le vendeur en a informé SFERS, et maintenant, l'agence informe tout le monde.
Selon la notification, la raison de la divulgation tardive est l'enquête, qui a commencé immédiatement après la découverte de l'incident. Après ladite enquête, SFERS et 10up ne peuvent pas dire avec certitude si les pirates ont téléchargé la base de données alors qu'ils y avaient accès.
Était-ce évitable?
Les annonces officielles ne nous donnent pas une idée précise de ce qui n'a pas fonctionné et pourquoi, et SFERS semble déterminé à ne pas divulguer d'informations techniques à ce stade. Pour cette raison, il est difficile d'évaluer la gravité de l'erreur et la facilité avec laquelle elle aurait pu être évitée.
Il faut dire que pour les personnes qui ont eu leurs informations personnelles exposées, cela ne fait pas vraiment de différence. Ce sur quoi ils doivent se concentrer, c'est être un peu plus prudent et faire attention aux signes de vol d'identité.
