„Bank of America“ atskleidė duomenų pažeidimą SBA „Paycheck“ apsaugos programoje

COVID-19 pandemija mums iškėlė nemažai iššūkių ir, nors visi esame gana tikri, kad juos išspręsime, kai kurie iš jų kelia nemažai netikėtų sunkumų. Pavyzdžiui, šiandienos istorija parodys, kaip sprendimai, kuriuos naudojame kovojant su krize, dažnai kuriami skubotai ir kartais būna su trūkumais. Tai taip pat turėtų parodyti, kokios blogos gali būti viso to pasekmės.

Siekdama padėti mažoms įmonėms išgyventi pandemiją, JAV smulkaus verslo administracija sukūrė Paycheck apsaugos programą. Dalyvaujančios įmonės gali gauti paskolą, kuri bus visiškai atleista, jei ji bus tiesiogiai panaudota darbo jėgos išlaikymui sustabdymo laikotarpiu.

Manoma, kad pinigus skolinsis programoje dalyvaujantys bankai, tokie kaip Bank of America (BofA), o jų pareiga yra apdoroti pareiškėjų informaciją ir perduoti ją agentūrai. SBA greitai sukūrė visiškai naują internetinę platformą, kad tai palengvintų, ir balandžio 22 d. „BofA“ ją išbandė pateikdama keletą paraiškų. Dėl priežasčių, kurios vis dar neaiškios, nors tai turėjo būti bandymas, bankas naudojo tikras programas, kuriose pilna tikrų duomenų. Be abejo, vieną kartą jos apsaugos komanda pastebėjo, kad pateikta informacija buvo prieinama ir kitiems žmonėms, prisijungusiems prie sistemos.

SBA bandymų sistema atskleidė pareiškėjų informaciją

Praėjusią savaitę „Bank of America“ pateikė pranešimą apie duomenų pažeidimą Kalifornijos valstijos generaliniam prokurorui, kad šis atskleistų įvykį. Detalesnė informacija, tačiau rašte teigiama, kad, teikdami paraiškas balandžio 22 d., „BofA“ IT profesionalai pastebėjo SBA sistemos trūkumą, dėl kurio kiti skolintojai galėjo susipažinti su dokumentais.

Tai kėlė nerimą, nes paraiškose buvo pateikta gana daug informacijos apie įmones, kurios kreipiasi dėl paskolos, ir jų savininkus. Į potencialiai paveiktus duomenis įtraukta:

• Vardai
• Laiškus
• Namų adresai
• Verslo adresai
• Telefono numeriai
• Mokesčių identifikavimo numeriai
• Socialinės apsaugos numeriai

Tai skamba baisiau nei yra

Kai tik „BofA“ pastebėjo galimą poveikį, ji pranešė SBA ir duomenys buvo pašalinti iš pažeidžiamos sistemos. Pranešime apie pažeidimą nurodoma, kad nėra duomenų apie neteisėtą prieigą prie duomenų, o atstovas spaudai sakė „ The Charlotte Business Journal“, kad paveiktų klientų yra „nedaug“. Nepaisant to, kadangi pažeidimas buvo susijęs su ypatingai slapta informacija, bankas potencialiems klientams teikia dvejų metų apsaugos nuo tapatybės vagysčių apsaugą. Incidentas neturėtų turėti įtakos klientų „Paycheck Protection Program“ programoms, ir apskritai tai neturi atrodyti kaip blogiausias nutekėjimas pasaulyje. Tačiau nuotėkis yra nuotėkis, ir mes turime iš jo pasimokyti.

„BofA“ nebuvo vienintelis bankas, kuris išbandė sistemą, tačiau jis yra vienintelis, kuris atskleidžia galimą duomenų poveikį, kuris gali arba negali manyti, kad kiti skolintojai naudojosi netikra ar neteisinga informacija. Kad ir kaip būtų, duomenų apsaugos ekspertai banke turbūt turėtų pagalvoti apie politiką, taikomą tvarkant klientų asmeninę ir verslo informaciją. Vis dėlto jie nėra vieninteliai, kurie turėtų daryti išvadas iš viso to.

Akivaizdu, kad SBA neturėjo laiko tinkamai išbandyti „Paycheck Protection Program“ sistemos, tačiau maždaug prieš mėnesį, kol Amerikos bankas aptiko šį trūkumą, agentūra išgyveno dar vieną, nesusijusį incidentą, kuris rodo, kad tikriausiai turėtų būti padidinta duomenų apsauga. SBA prioritetų sąrašas. Tokiu atveju dėl pažeidžiamumo gresia 8000 pareiškėjų privačios ir verslo informacijos atskleidimas pagal Ekonominių traumų nelaimių paskolos programą.

Koronaviruso pandemija negali būti pasiteisinimas dėl netinkamo žmonių duomenų tvarkymo. Tikimės, kad visi atsakingi žmonės tai supras, kol dar nevėlu.