Et datainnbrudd i San Fransisco sitt pensjonssystem kan ha utsatt personlig økonomisk informasjon for 74 000 medlemmer

Byen San Francisco har ikke hatt de beste månedene når det gjelder cybersikkerhet. Først i mars hacket nettkriminelle et par av San Francisco International Airport sine nettsteder, og nå kunngjorde San Francisco Ansattes Pensjonssystem (SFERS) at noen av medlemmene sine data kan ha blitt kompromittert.

Hva skjedde?

I følge et varsel om datainnbrudd som ble publisert forrige uke, berører hendelsen rundt 74 tusen mennesker. For aktive SFERS-medlemmer inkluderer de utsatte detaljene navn, hjemmeadresser, fødselsdato og personopplysninger fra utpekte mottakere. Hackerne kan også ha hatt tilgang til noen IRS-skjemaer og bankrutingsnummer for pensjonerte SFERS-medlemmer og kontinuenter, og varselet sa at brukernavn og sikkerhetsspørsmål og svar på byråets nettsted kan ha blitt kompromittert også.

De eksponerte dataene inkluderer ikke personnummer, bankkontonummer eller kredittkortinformasjon, men uansett er risikoen for identitetstyveri veldig reell for de berørte individer, og det er derfor de tilbys et års identitetstyveri beskyttelse gratis. SFERS har også tvunget til å tilbakestille passordet for berørte kontoer av en overflod av forsiktighet.

Hvem var ansvarlig?

Sammen med varselet om brudd på data, publiserte SFERS også en FAQ-side. Det er en "Hvordan skjedde dette?" spørsmål, men dessverre gir det oss ingen tekniske detaljer om hva som gikk galt. Den sier imidlertid at 10up Inc, en entreprenør som er ansatt for å utvikle og vedlikeholde SFERS 'online-tjeneste, er ansvarlig for bruddet.

Tilsynelatende, for en tid tilbake, satte 10up opp en testserver for å prøve ut nye funksjoner og forbedre tjenesten. I stedet for å bruke dummy-data for testen, lastet imidlertid leverandøren opp et øyeblikksbilde av august 2018 av SFERS 'database som var full av personlige personopplysninger.

"En utenforstående" fikk uautorisert tilgang til serveren 24. februar, men 10up fikk ikke vite om bruddet før 21. mars. Fem dager senere informerte leverandøren SFERS om det, og nå gir byrået beskjed om det.

I følge varselet er årsaken til den forsinkede avsløringen etterforskningen, som startet umiddelbart etter at hendelsen ble avdekket. Etter nevnte etterforskning kan ikke SFERS og 10up si definitivt om hackerne lastet ned databasen mens de hadde tilgang til den.

Var det unngått?

De offisielle kunngjøringene gir oss ikke en nøyaktig ide om hva som gikk galt og hvorfor, og SFERS ser ut til å være fast bestemt på å ikke gi fra seg teknisk informasjon på dette tidspunktet. På grunn av dette er det vanskelig å måle hvor dårlig feilen var, og hvor lett den kunne vært unngått.

Det må sies at for menneskene som har fått eksponert sine personlige detaljer, gjør ikke dette veldig mye av en forskjell. Det de trenger å fokusere på er å være litt mer forsiktig og passe på tegn til identitetstyveri.