Et dataovertredelse hos en produsent av Live Event Equipment avslører ansattes personlige og økonomiske data
I forrige uke TAIT Towers Manufacturing LLC, en produsent av utstyr for live-forestillinger og konserter som har jobbet med storheter som Lady Gaga og Taylor Swift, utstedte en av disse uttalelsene der det har å forklare hvordan det tar datasikkerhet på alvor. Som mange av dere sikkert vet, gjør selskaper det bare etter at de har fått et datainnbrudd.
Angrepet fant sted for rundt fire måneder siden i februar, men selskapet fikk ikke vite om det før 6. april. Etter at det ble gjort oppmerksom på bruddet, startet det umiddelbart en etterforskning, som fortsatt pågår. Likevel var TAIT snill nok til å dele med oss (og menneskene som var direkte berørt av angrepet) hva som skjedde.
Table of Contents
Hackere kompromitterte en TAIT-server og de ansattes e-postkontoer
16. februar kompromitterte en uautorisert part en av TAITs servere og e-postkontoer til noen av selskapets ansatte. Når de var inne, fikk hackerne tilgang til ganske mange personopplysninger om TAIT-personell, inkludert navn, fysiske og e-postadresser, fødselsdato, personnummer og økonomiske kontonummer. TAIT stengte bruddet, leide et nettvirksomhetsselskap for å hjelpe med etterforskningen, og begynte å jobbe med å iverksette tiltak for å sikre at lignende hendelser ikke skjer i fremtiden.
Selskapet er overbevist om at det ikke har sett noen bevis for at noen av dataene er misbrukt, men for å være på den sikre siden er det klar til å gi berørte ansatte gratis beskyttelse mot identitetstyveri. Uttalelsen gir mange detaljer om hva folk trenger å gjøre for å ta TAIT opp på dette tilbudet.
For mange stykker av puslespillet mangler
Som vi allerede nevnte, pågår fortsatt etterforskningen, noe som antyder at selv TAIT ikke har fått det fulle bildet ennå. Når det er sagt, så mangler det så mange detaljer fra forrige ukes uttalelse, at antallet stillte spørsmål overstiger antall svarte.
Vi vet for eksempel ikke hvor mange e-postkontoer som ble angrepet. Det er heller ingen informasjon om antall berørte ansatte, og vi vet ikke engang om angrepet målrettet personer i en bestemt region eller om det påvirket TAITs kontorer over hele kloden. Metoden hackere som ble brukt for å kompromittere TAITs IT-systemer er også ukjent, noe som betyr at det er vanskelig å si hvor sofistikerte motstanderne er og hvor dårlige konsekvensene kan være. Dette er ikke det eneste problemet.
Om den “vi tar sikkerhet veldig alvorlig”
Selskaper blir ofte kritisert for å gi sine datavarselvarsler en setning med kjeleplate som ikke gjør en veldig god jobb med å overbevise folk om at den angrepne organisasjonen "tar sikkerhet veldig alvorlig." Uttalelsen gir ikke virkelig noen verdi for varselet, og i noen tilfeller virker den rett og slett hul.
For eksempel fremsatte de ansvarlige for TAITs sikkerhet den samme nøyaktige påstanden, men de klarte likevel ikke å sikre at selskapets nettsted lastes inn under HTTPS som standard. De skryter også av flerfaktor-autentiseringssystemet de har introdusert. Flerfaktorautentisering har eksistert i mange år, og det har vist seg som den enkleste måten å sikre bedre databeskyttelse. Gitt følsomheten og volumet av dataene TAIT håndterer, burde selskapet sannsynligvis ha tenkt på å implementere dem før nettkriminelle angrep i stedet for etter det.
Alt i alt beviser TAITs bruddvarsel at det er enklere å si at du tar sikkerhet på alvor enn å faktisk gjøre det.
