Dėl duomenų apie San Fransisko pensijų sistemos pažeidimus galėjo būti atskleista 74 000 narių asmeninė finansinė informacija
San Fransisko miestas neturėjo geriausių kelių mėnesių, kai kalbama apie kibernetinį saugumą. Pirmiausia kovo mėnesį kibernetiniai nusikaltėliai įsilaužė į porą San Fransisko tarptautinio oro uosto tinklalapių, o dabar San Fransisko darbuotojų pensinio aprūpinimo sistema (SFERS) paskelbė, kad kai kurių jos narių duomenys galėjo būti pažeisti.
Table of Contents
Kas nutiko?
Remiantis praėjusią savaitę paskelbtu pranešimu apie duomenų pažeidimą, incidentas paveikė apie 74 tūkst. Žmonių. Informacija apie aktyvius SFERS narius yra vardai, pavardės, namų adresai, gimimo datos ir paskirtų naudos gavėjų asmens duomenys. Piratai taip pat galėjo turėti prieigą prie kai kurių IRS formų ir į pensiją išėjusių SFERS narių bei nuolatinių asmenų maršrutų į bankus numerių, o pranešime teigiama, kad taip pat galėjo būti pakenkta agentūros tinklalapio naudotojų vardams ir saugumo klausimams bei atsakymams.
Pateiktuose duomenyse nėra jokių socialinio draudimo numerių, banko sąskaitų numerių ar kreditinių kortelių duomenų, tačiau net ir tuo atveju nukentėjusiems asmenims tapatybės vagystės rizika yra labai reali, todėl jiems pasiūloma vienerių metų asmens tapatybės vagystė. apsauga nemokamai. Dėl begalės atsargumo, SFERS taip pat privertė iš naujo nustatyti slaptažodį paveiktose paskyrose.
Kas buvo atsakingas?
Kartu su pranešimu apie duomenų pažeidimus SFERS paskelbė ir DUK puslapį. Yra „Kaip tai nutiko?“ Klausimas, bet, deja, nepateikia jokios techninės informacijos apie tai, kas nutiko. Vis dėlto sakoma, kad už pažeidimą yra atsakingas „10up Inc“, rangovas, pasamdytas plėtoti ir prižiūrėti SFERS internetinę paslaugą.
Matyt, prieš kurį laiką „10up“ įsteigė bandymų serverį, kad galėtų išbandyti naujas funkcijas ir patobulinti paslaugą. Užuot bandymams naudodamas netikrus duomenis, pardavėjas įkėlė 2018 m. Rugpjūčio mėn. „SFERS“ duomenų bazę, kurioje buvo pilna žmonių asmeninės informacijos.
„Išorinė šalis“ įgijo neteisėtą prieigą prie serverio vasario 24 d., Tačiau „10up“ apie pažeidimą sužinojo tik kovo 21 d. Vėliau, praėjus penkioms dienoms, pardavėjas apie tai informavo SFERS, o dabar agentūra praneša visiems.
Remiantis pranešimu, atidėto atskleidimo priežastis yra tyrimas, kuris pradėtas iškart po to, kai buvo atskleistas incidentas. Po minėto tyrimo SFERS ir 10up negali tiksliai pasakyti, ar įsilaužėliai atsisiuntė duomenų bazę, kol turėjo prieigą prie jos.
Ar to buvo galima išvengti?
Oficialūs pranešimai nepateikia tikslaus supratimo, kas nutiko ir kodėl, todėl atrodo, kad SFERS yra pasiryžęs šiuo metu neatsisakyti jokios techninės informacijos. Dėl šios priežasties sunku įvertinti, kokia buvo klaida ir kaip lengvai jos buvo galima išvengti.
Reikia pasakyti, kad žmonėms, kuriems buvo atskleista asmeninė informacija, tai iš esmės nedaro jokios įtakos. Į ką jiems reikia atkreipti dėmesį, reikia būti šiek tiek atsargesniems ir stebėti asmens tapatybės vagystės požymius.
