Adatok megsértése az élő rendezvény-berendezések gyártójánál feltárják az alkalmazottak személyes és pénzügyi adatait
A múlt héten a TAIT Towers Manufacturing LLC, az élő rendezvények és koncertek berendezéseinek gyártója, amely Lady Gaga és Taylor Swift kedvelőivel együttműködik, közzétette az egyik ilyen nyilatkozatot, ahol el kell magyaráznia, hogy az adatbiztonságot miként veszi nagyon komolyan. Mint valószínűleg sokan tudják, a vállalatok ezt csak azután teszik meg, hogy adatsértést szenvedtek el.
A támadásra négy hónappal ezelőtt, februárban került sor, de a társaság csak április 6-ig tudta meg róla. Miután tudomást szereztek a jogsértésről, azonnal nyomozást indított, amely még mindig folyamatban van. Ennek ellenére a TAIT elég kedves volt, hogy megosszák velünk (és a támadás által közvetlenül érintett emberekkel), mi történt.
Table of Contents
A hackerek veszélybe sodorták a TAIT szervert és az alkalmazottak e-mail fiókjait
Február 16-án illetéktelen fél veszélyeztette a TAIT egyik szerverét és a társaság néhány alkalmazottjának e-mail fiókját. Belépve a hackerek nagyon sok személyes adathoz hozzáfértek a TAIT alkalmazottainak, ideértve a neveket, a fizikai és az e-mail címeket, a születési időket, a társadalombiztosítási számokat és a pénzügyi számlaszámokat. A TAIT lezárta a jogsértést, kiberbiztonsági céget bérelt fel a nyomozás segítésére, és végrehajtási intézkedések kidolgozásán kezdte annak biztosítását, hogy a jövőben hasonló események ne forduljanak elő.
A társaság ragaszkodik ahhoz, hogy nem látott bizonyítékot az adatokkal való visszaélésről, de a biztonság szempontjából készen áll arra, hogy az érintett munkavállalók számára ingyenes személyazonosság-védelmi szolgáltatásokat nyújtson. A nyilatkozat rengeteg részletet tartalmaz arról, hogy az embereknek mit kell tenniük ahhoz, hogy a TAIT felvegye az ajánlatot.
Túl sok a puzzle része hiányzik
Mint már említettük, a vizsgálat továbbra is folyamatban van, ami arra utal, hogy még a TAIT még nem kapott meg a teljes képet. Ennek ellenére annyi részlet hiányzik a múlt heti nyilatkozatból, hogy a feltett kérdések száma meghaladja a megválaszolt kérdések számát.
Nem tudjuk például, hogy hány e-mail fiókot támadtak meg. Nincs információ az érintett alkalmazottak számáról sem, sőt azt sem tudjuk, hogy a támadás egy adott régióban élő embereket célozott-e, vagy a TAIT irodái szerte a világon. A TAIT informatikai rendszereinek veszélyeztetésére használt módszer-hackerek szintén ismeretlenek, ami azt jelenti, hogy nehéz megmondani, mennyire kifinomultak az ellenfelek és milyen súlyos következményekkel járhatnak. Ez nem az egyetlen probléma.
Erről a “nagyon komolyan vesszük a biztonságot” nyilatkozatot
A vállalatokat gyakran bírálják azért, mert adatsértésről szóló értesítéseiket olyan táblázatos mondattal látják el, amely nem túl jó feladat az, hogy meggyőzze az embereket arról, hogy a megtámadott szervezet "nagyon komolyan veszi a biztonságot". Az állítás valójában semmilyen értéket nem jelent a bejelentéshez, és bizonyos esetekben egyenesen üregesnek tűnik.
Például a TAIT biztonságáért felelős személyek ugyanazt a pontos állítást nyújtották be, ám nem tudták biztosítani, hogy a társaság webhelye alapértelmezés szerint a HTTPS alatt betöltődjön. Felmerültek a bevezetett többtényezős hitelesítési rendszerről is. A többtényezős hitelesítés évek óta zajlik, és bebizonyította, hogy a jobb adatvédelem egyszerűbb módja. Tekintettel a TAIT kezelt adatainak érzékenységére és mennyiségére, a vállalatnak valószínűleg gondolkodnia kellett volna annak végrehajtásáról, még mielőtt a számítógépes bűnözők támadnak, nem pedig utána.
Összességében a TAIT szabálysértési értesítése azt bizonyítja, hogy könnyebb mondani, hogy a biztonságot komolyan veszi, mint ténylegesen megtenni.
