Bank of America avslører et dataovertredelse ved SBAs Paycheck Protection Program

COVID-19-pandemien har gitt oss en rekke utfordringer, og selv om vi alle er ganske sikre på at vi vil overvinne dem, er det noen av dem som byr på ganske mange uventede vanskeligheter. Dagens historie, for eksempel, vil vise deg hvordan løsningene vi bruker for å bekjempe krisen ofte er designet i en hast og noen ganger er feil. Det skal også vise deg hvor dårlige konsekvensene av alt dette kan være.

For å hjelpe små bedrifter til å overleve pandemien, opprettet den amerikanske Small Business Administration Paycheck Protection Program. Foretak som deltar i det, kan få et lån som vil bli tilgitt fullt ut hvis det er direkte brukt til å beholde arbeidsstyrken som er ansatt i perioden med nedleggelse.

Pengene er ment å være lånt ut av banker som deltar i programmet som Bank of America (BofA), og det er deres ansvar å behandle søkernes informasjon og overlevere den til byrået. SBA bygde raskt en helt ny online plattform for å lette dette, og 22. april testet BofA den ved å sende inn noen applikasjoner. Av grunner som fremdeles er uklare, selv om dette skulle være en test, brukte banken ekte applikasjoner fulle av reelle data. På et tidspunkt merket sikkerhetsgruppen sikker på at den innsendte informasjonen også var tilgjengelig for andre som er logget inn i systemet.

Et SBA-testsystem utsatte søkernes informasjon

I forrige uke sendte Bank of America en varsling om datainnbrudd til staten Californias riksadvokat for å avsløre hendelsen. Detaljene er få, men ifølge brevet, da de sendte inn 22. april søknader, merket BofAs IT-fagfolk en feil i SBAs system, som ga andre långivere tilgang til dokumentene.

Dette var en bekymring fordi innleveringene inneholdt ganske mye informasjon om bedriftene som søkte om lånet og deres eiere. De potensielt eksponerte dataene inkluderer:

• navnene
• e-post
• Hjemmeadresser
• Forretningsadresser
• Telefonnummer
• Skatteidentifikasjonsnummer
• Personnummer

Det høres skumlere ut enn det er

Så snart BofA la merke til den potensielle eksponeringen, varslet den SBA, og dataene ble slettet fra det sårbare systemet. Varsel om brudd peker på at det ikke er bevis for noen uautorisert tilgang til dataene, og en talsperson fortalte The Charlotte Business Journal at antallet berørte kunder er "lite." Likevel, fordi bruddet involverte ekstremt sensitiv informasjon, gir banken potensielt involverte kunder to års verdi av identitetstyveri. Hendelsen skal ikke ha betydning for klientenes Paycheck Protection Program-applikasjoner, og alt i alt ser det ikke ut som den verste lekkasjen i verden. En lekkasje er imidlertid en lekkasje, og vi må lære av den.

BofA var ikke den eneste banken som testet systemet, men det er den eneste som røper en potensiell dataeksponering, noe som kanskje eller ikke kan antyde at andre långivere brukte dummy eller ugyldig informasjon. Uansett skal datasikkerhetseksperter i banken sannsynligvis tenke på retningslinjene som brukes når de behandler kundenes personlige og forretningsdata. De er imidlertid ikke de eneste som bør trekke konklusjoner fra alt dette.

Det er åpenbart at SBA ikke hadde tid til å teste Paycheck Protection Program-systemet ordentlig, men omtrent en måned før Bank of America oppdaget dette feilen, gikk byrået gjennom en annen, ikke-relatert hendelse som antyder at datasikkerhet sannsynligvis burde presses opp SBAs prioriteringsliste. I så fall truet en sårbarhet med å utsette privat og forretningsinformasjon fra 8000 søkere til programmet for økonomiske skader.

Coronavirus-pandemien kan ikke være en unnskyldning for dårlig håndtering av folks data. Forhåpentligvis vil alle ansvarlige forstå dette før det er for sent.