A San Francisco-i nyugdíjrendszer adatainak megsértése 74 000 tag személyes pénzügyi adatait fedte fel
San Francisco városának nem volt a legjobb hónapja a kiberbiztonságról. Először, márciusban a számítógépes bűnözők feltörték a San Francisco International Airport néhány weboldalát, és most a San Francisco Munkavállalói Nyugdíjrendszer (SFERS) bejelentette, hogy egyes tagjai adatai valószínűleg veszélybe kerültek.
Table of Contents
Mi történt?
A múlt héten közzétett adatok megsértéséről szóló értesítés szerint az esemény körülbelül 74 ezer embert érint. Az aktív SFERS-tagok számára a nyilvánosságra hozott adatok magukban foglalják a neveket, lakcímeket, születési időket, valamint a kijelölt kedvezményezettek személyes adatait. Lehetséges, hogy a hackerek is hozzáférhetnek bizonyos IRS-űrlapokhoz és a nyugdíjas SFERS-tagok és a kontinentumok banki útválasztási számához, és az értesítés szerint az ügynökség webhelyének felhasználónevei, biztonsági kérdései és válaszai szintén veszélybe kerültek.
A feltárt adatok nem tartalmaznak társadalombiztosítási számot, bankszámlaszámot vagy hitelkártya-adatot, ám ennek ellenére a személyazonosság-lopás kockázata az érintett személyeknél nagyon valódi, ezért egyéves személyazonossági lopást kínálnak számukra. ingyenes védelem. A rendkívüli óvatosság miatt az SFERS a jelszavak visszaállítását is kényszerítette az érintett fiókokra.
Ki volt a felelős?
Az adatsértésről szóló értesítés mellett az SFERS közzétett egy GYIK oldalt is. Van egy "Hogyan történt ez?" kérdés, de sajnos nem ad műszaki részleteket arról, hogy mi történt rosszul. Ugyanakkor azt mondja, hogy a 10up Inc., az SFERS online szolgáltatásának fejlesztésére és fenntartására felvett vállalkozó felelős a jogsértésért.
Nyilvánvaló, hogy egy ideje a 10up beállított egy tesztkiszolgálót az új szolgáltatások kipróbálására és a szolgáltatás fejlesztésére. A tesztelés céljára való hamis adatok használata helyett az eladó 2018. augusztus pillanatképet töltött fel az SFERS adatbázisából, amely tele volt az emberek személyes adataival.
A "külső fél" február 24-én jogosulatlan hozzáférést kapott a szerverhez, de a 10up csak a március 21-ig megismerte a jogsértést. Öt nappal később az eladó tájékoztatta erről az SFERS-t, és az ügynökség most mindenkit értesít.
Az értesítés szerint a késedelmes közzététel oka a nyomozás, amely az incidens feltárása után azonnal megindult. Az említett vizsgálat után az SFERS és a 10up nem tudják egyértelműen megmondani, hogy a hackerek letöltötték-e az adatbázist, miközben hozzáfértek voltak hozzá.
Elkerülhető volt?
A hivatalos bejelentések nem adnak pontos képet arról, mi történt rosszul és miért, és úgy tűnik, hogy az SFERS elhatározta, hogy ezen a ponton nem ad el műszaki információkat. Emiatt nehéz felmérni, mennyire volt rossz a hiba, és milyen könnyen lehetett volna elkerülni.
Azt kell mondani, hogy azoknak az embereknek, akiknek személyes adatait nyilvánosságra hozták, ez valójában nem jelent különbséget. Kell koncentrálniuk egy kicsit óvatosabbnak és figyelni a személyazonosság-lopás jeleire.
