ライブイベント機器メーカーでのデータ侵害により、従業員の個人データと財務データが明らかになる
先週、TAITタワーズ製造LLC、レディー・ガガとテイラー・スウィフトの同類と協力しているライブイベントやコンサートのための機器メーカーは、 発行され 、それはそれは非常に真剣に、データのセキュリティを取る方法を説明しなければならないこれらのステートメントの1。ご存じの方も多いと思いますが、企業はデータ漏えいを経験した後にのみそれを行います。
攻撃は実際には約4か月前の2月に行われましたが、会社は4月6日までそれを知りませんでした。侵害を知らされた後、直ちに調査を開始しました。それにもかかわらず、TAITは私たち(および攻撃によって直接影響を受けた人々)に何が起こったかを共有するのに十分親切でした。
Table of Contents
ハッカーがTAITサーバーと従業員のメールアカウントを侵害
2月16日、無許可の当事者がTAITのサーバーの1つと会社の一部の従業員の電子メールアカウントを侵害しました。侵入すると、ハッカーは、名前、住所、メールアドレス、生年月日、社会保障番号、金融口座番号など、TAIT担当者の個人情報の多くにアクセスできるようになります。 TAITは違反をクローズし、調査を支援するためにサイバーセキュリティ会社を雇い、同様のインシデントが今後発生しないようにするための対策の実施に取り組み始めました。
同社は、データが悪用された形跡がないことを確信していますが、安全のために、影響を受ける従業員にID盗難防止サービスを無料で提供する用意があります。声明は、その申し出についてTAITを上げるために人々が何をする必要があるかについての多くの詳細を与えます。
不足しているパズルのピースが多すぎる
既に述べたように、調査はまだ進行中であり、TAITでさえ全体像をまだ把握していないことを示唆しています。とはいえ、先週の発言には多くの詳細が欠けているため、出された質問の数は回答された質問の数を上回っています。
たとえば、攻撃されたメールアカウントの数はわかりません。影響を受けた従業員の数に関する情報もありません。また、攻撃が特定の地域の人々を標的としたのか、それが世界中のTAITのオフィスに影響を与えたのかもわかりません。 TAITのITシステムを危険にさらすためにハッカーが使用した方法も不明です。つまり、敵がどれほど巧妙で、結果がどれほど悪い可能性があるかを言うのは困難です。これが唯一の問題ではありません。
「安全を非常に真剣に受け止めています」発言について
企業は、攻撃された組織が「セキュリティを非常に真剣に受け止めている」ことを人々に納得させる上手な働きをしない定型文でデータ侵害通知を提供したことでしばしば批判されます。このステートメントは実際には通知に価値をもたらすものではなく、場合によっては、まったく空洞のように見えます。
たとえば、TAITのセキュリティの責任者はまったく同じ主張をしましたが、会社のWebサイトがデフォルトでHTTPSでロードされることを保証できませんでした。彼らはまた、導入した多要素認証システムについて自慢しました。多要素認証は何年も前から存在しており、データ保護を確実にする最も簡単な方法であることが証明されています。 TAITが扱うデータの機密性と量を考えると、会社はおそらくサイバー犯罪者の攻撃後ではなく、攻撃の前にそれを実装することを考えるべきでした。
全体として、TAITの違反通知は、セキュリティを真剣に考えることを実際に行うよりも簡単であると証明しています。