Una violazione dei dati del sistema pensionistico di San Francisco potrebbe aver rivelato informazioni finanziarie personali di 74.000 membri
La città di San Francisco non ha avuto i migliori mesi in fatto di sicurezza informatica. In primo luogo, a marzo, i criminali informatici hanno violato un paio di siti Web dell'aeroporto internazionale di San Francisco e ora il Sistema pensionistico dei dipendenti di San Francisco (SFERS) ha annunciato che alcuni dei dati dei suoi membri potrebbero essere stati compromessi.
Table of Contents
Quello che è successo?
Secondo una notifica di violazione dei dati pubblicata la scorsa settimana, l'incidente riguarda circa 74 mila persone. Per i membri SFERS attivi, i dettagli esposti includono nomi, indirizzi di residenza, date di nascita, nonché i dati personali dei beneficiari designati. Gli hacker potrebbero anche aver avuto accesso ad alcuni moduli IRS e numeri di instradamento bancario di membri e continuatori SFERS in pensione, e la comunicazione affermava che anche i nomi utente e le domande di sicurezza e le risposte per il sito Web dell'agenzia potrebbero essere stati compromessi.
I dati esposti non includono numeri di previdenza sociale, numeri di conto bancario o dettagli della carta di credito, ma anche così, il rischio di furto di identità è molto reale per le persone colpite, motivo per cui viene offerto loro un anno di furto di identità protezione gratuita. Per una grande cautela, SFERS ha anche forzato un ripristino della password per gli account interessati.
Chi era responsabile?
Insieme alla notifica di violazione dei dati, SFERS ha anche pubblicato una pagina di domande frequenti. C'è un "Come è potuto succedere?" domanda, ma sfortunatamente non ci fornisce dettagli tecnici su cosa sia andato storto. Tuttavia, afferma che 10up Inc, un appaltatore assunto per sviluppare e mantenere il servizio online di SFERS, è responsabile della violazione.
Apparentemente, qualche tempo fa, 10up ha creato un server di prova per provare nuove funzionalità e migliorare il servizio. Invece di utilizzare dati fittizi a scopo di test, tuttavia, il fornitore ha caricato un'istantanea del database SFERS di agosto 2018 che era piena di informazioni personali delle persone.
"Una parte esterna" ha ottenuto l'accesso non autorizzato al server il 24 febbraio, ma 10up non ha appreso della violazione fino al 21 marzo. Cinque giorni dopo, il fornitore ha informato SFERS al riguardo e ora l'agenzia sta facendo sapere a tutti.
Secondo la notifica, il motivo della divulgazione ritardata è l'indagine, avviata immediatamente dopo la scoperta dell'incidente. Dopo tale indagine, SFERS e 10up non possono dire in modo definitivo se gli hacker hanno scaricato il database mentre ne avevano accesso.
È stato evitabile?
Gli annunci ufficiali non ci danno un'idea precisa di cosa sia andato storto e perché, e SFERS sembra determinato a non fornire informazioni tecniche a questo punto. Per questo motivo, è difficile valutare quanto è stato grave l'errore e quanto facilmente avrebbe potuto essere evitato.
Va detto che per le persone a cui sono stati esposti i loro dettagli personali, questo non fa davvero molta differenza. Ciò su cui devono concentrarsi è essere un po 'più attenti e fare attenzione ai segni di furto di identità.
