バンクオブアメリカ、SBAの給与計算保護プログラムでデータ侵害を明らかに
COVID-19のパンデミックは私たちに多くの課題を突きつけました、そして私たち全員がそれらを克服することはかなり確かですが、それらのいくつかはかなりの数の予期しない困難を提示しています。たとえば、今日の話は、危機と戦うために私たちが使用するソリューションが、しばしば急いで設計され、時には欠陥があることを示しています。また、これらすべての結果がどれほど悪い可能性があるかも示します。
中小企業がパンデミックを生き残るのを助けるために、米国中小企業局は給与計算保護プログラムを設定しました。それに参加する企業は、ロックダウン期間中に労働力を雇用し続けるために直接使用される場合、完全に許されるローンを得ることができます。
資金はバンク・オブ・アメリカ(BofA)のようなプログラムに参加している銀行によって貸与されることになっています、そして、彼らの責任は申請者の情報を処理して代理店にそれを引き渡すことです。 SBAはすぐにこれを容易にするためにまったく新しいオンラインプラットフォームを構築し、4月22日、BofAはいくつかのアプリケーションを送信してテストを行いました。理由は不明確ですが、これはテストであるはずでしたが、銀行は実際のデータでいっぱいの実際のアプリケーションを使用していました。案の定、ある時点で、セキュリティチームは、送信された情報がシステムにログインしている他のユーザーにもアクセス可能であることを認識しました。
SBAテストシステムは応募者の情報を公開しました
先週、バンクオブアメリカはカリフォルニア州の司法長官に事件を開示するためのデータ侵害通知を提出しました 。詳細は少ないですが、手紙によると、4月22日の申請書を提出したときに、BofAのITプロフェッショナルはSBAのシステムの欠陥に気づき、他の貸し手がドキュメントにアクセスできるようになりました。
提出書類には、ローンを申請している企業とその所有者に関するかなりの情報が含まれていたため、これは心配でした。公開される可能性のあるデータは次のとおりです。
- お名前
- メール
- 自宅の住所
- 会社の住所
- 電話番号
- 納税者番号
- 社会保障番号
それはそれよりも怖いですね
BofAは潜在的な危険に気づくとすぐにSBAに通知し、データは脆弱なシステムから削除されました。違反通知は、データへの不正アクセスの証拠がないことを指摘し、報道官は影響を受けた顧客の数は「少ない」とシャーロットビジネスジャーナルに伝えました。それにもかかわらず、侵害にはいくつかの非常に機密性の高い情報が含まれていたため、銀行は潜在的に関係する顧客に2年分のID盗難防止を提供しています。このインシデントは、クライアントのPaycheck Protection Programアプリケーションに影響を与えるべきではなく、全体として、世界で最悪のリークのようには見えません。しかし、リークはリークであり、私たちはそれから学ぶ必要があります。
BofAはシステムをテストした唯一の銀行ではありませんでしたが、他の貸し手がダミーまたは無効な情報を使用したことを示唆している、または示唆していない可能性のあるデータ漏洩の可能性を開示しているのはBofAだけです。いずれにしても、銀行のデータセキュリティの専門家は、顧客の個人情報やビジネス情報を処理するときに採用されるポリシーについて考える必要があります。しかし、これらすべてから結論を導き出す必要があるのは彼らだけではありません。
SBAがPaycheck Protection Programシステムを適切にテストする時間を持っていなかったことは明らかですが、バンクオブアメリカがこのグリッチを発見する約1か月前に、エージェンシーは別の無関係のインシデントを経験しました。 SBAの優先順位リスト。その場合、脆弱性により8,000人の申請者の個人情報およびビジネス情報が経済的傷害災害融資プログラムにさらされる恐れがありました。
コロナウイルスのパンデミックは、人々のデータの扱いの悪さの言い訳にはなりません。うまくいけば、手遅れになる前に責任者全員がこれを理解するでしょう。