A Bank of America adatsértést derített fel az SBA Paycheck Protection programjában
A COVID-19 világjárvány számos kihívást jelentett nekünk, és bár mindannyian biztosak vagyunk benne, hogy meg fogjuk oldani őket, néhányuk viszonylag sok váratlan nehézséget jelent. Például a mai történet megmutatja, hogy a válság leküzdésére általunk használt megoldások gyakran sietve vannak kialakítva és néha hibásak. Azt is meg kell mutatnia, hogy mindez milyen következményekkel járhat.
Annak érdekében, hogy segítse a kisvállalkozásokat a világjárvány túlélésében, az Egyesült Államok Kisvállalkozói Igazgatósága létrehozta a Paycheck Protection Programot. Az abban részt vevő vállalkozások kölcsönt kaphatnak, amely teljes mértékben megbocsátásra kerül, ha azt közvetlenül a foglalkoztatott munkaerő megtartására használják a lezárás időszakában.
A pénzt állítólag a programban részt vevő bankok kölcsönzik, mint például a Bank of America (BofA), és a felelősségük a pályázók adatainak feldolgozása és átadása az ügynökségnek. Az SBA gyorsan egy teljesen új online platformot épített fel ennek megkönnyítésére, és április 22-én a BofA néhány alkalmazás benyújtásával kipróbálta. A továbbra sem egyértelmű okokból, bár ennek kellett volna tesztnek lennie, a bank valós, valós adatokkal teli alkalmazásokat használt. Valóban, egy ponton a biztonsági csapata észrevette, hogy a benyújtott információk a rendszerbe bejelentkezett többi személy számára is elérhetők.
Az SBA tesztrendszer feltárta a pályázók információkat
A múlt héten a Bank of America adatvédelmi kötelezettségszegési értesítést nyújtott be a kaliforniai állam főügyészéhez az esemény nyilvánosságra hozatala érdekében. A részletek kevések, de a levél szerint, amikor április 22-én jelentkeztek, a BofA informatikai szakemberei észrevettek egy hibát az SBA rendszerében, amely más hitelezők számára hozzáférést biztosított a dokumentumokhoz.
Ez aggodalomra ad okot, mivel a bejelentések nagyon sok információt tartalmaztak a kölcsönt igénylő vállalkozásokról és azok tulajdonosairól. A potenciálisan kitett adatok tartalmazzák:
- nevek
- e-mailek
- Otthoni címek
- Üzleti címek
- Telefonszámok
- Adóazonosító számok
- Társadalombiztosítási számok
Ijesztőbbnek tűnik, mint amilyen
Amint a BofA észlelte a lehetséges expozíciót, értesítette az SBA-t, és az adatokat törölték a sebezhető rendszerből. A jogsértésről szóló értesítés rámutat arra, hogy nincs bizonyíték az adatokhoz való jogosulatlan hozzáférésre, és a szóvivő azt mondta a The Charlotte Business Journal számára, hogy az érintett ügyfelek száma „kicsi”. Mindazonáltal, mivel a jogsértés valamilyen rendkívül érzékeny információt tartalmazott, a bank a potenciálisan érintett ügyfelek számára kétéves értékű személyazonossági védelmet nyújt. Az incidensnek nincs hatása az ügyfelek Paycheck Protection Program alkalmazásaira, és összességében nem tűnik a legrosszabb szivárgásnak a világon. A szivárgás azonban szivárgás, és be kell tanulnunk belőle.
A BofA nem volt az egyetlen bank, amely tesztelte a rendszert, de ez az egyetlen, aki felfedi a potenciális adatkitettséget, amely esetleg azt sugallja, hogy más hitelezők ál- vagy érvénytelen információkat használtak. Bármi legyen is a helyzet, a bank adatbiztonsági szakértőinek valószínűleg gondolkodniuk kell az ügyfelek személyes és üzleti adatainak feldolgozása során alkalmazott politikákról. De ők nem csak azok, akik mindezekből következtetéseket vonhatnak le.
Nyilvánvaló, hogy az SBA-nak nem volt ideje a Paycheck Protection Program rendszerének megfelelő tesztelésére, de kb. Egy hónappal azelőtt, hogy a Bank of America felfedezte ezt a hibát, az ügynökség egy másik, egymással nem összefüggő eseményen ment keresztül, amely azt sugallja, hogy az adatbiztonságot valószínűleg fokozni kell. Az SBA prioritási listája. Ebben az esetben egy sebezhetőség azzal fenyegetőzte, hogy 8000 kérelmező magán- és üzleti adatait a gazdasági károkkal összefüggő katasztrófa-kölcsön programba vonja.
A koronavírus járvány nem lehet mentség az emberek adatainak rossz kezelésére. Remélhetőleg minden felelős megérti ezt, mielőtt késő lenne.
