Een datalek bij een fabrikant van apparatuur voor live-evenementen onthult persoonlijke en financiële gegevens van werknemers
Vorige week, TAIT Towers Manufacturing LLC, een fabrikant van apparatuur voor live evenementen en concerten die heeft gewerkt met de wil van Lady Gaga en Taylor Swift, uitgegeven één van deze verklaringen waar het uit te leggen hoe het duurt beveiliging van gegevens zeer serieus. Zoals velen van u waarschijnlijk weten, doen bedrijven dat pas nadat ze een datalek hebben opgelopen.
De aanval vond eigenlijk vier maanden geleden plaats in februari, maar het bedrijf kwam er pas op 6 april van op de hoogte. Nadat het op de hoogte was gebracht van de inbreuk, startte het onmiddellijk een onderzoek dat nog steeds loopt. Niettemin was TAIT zo vriendelijk om met ons (en de mensen die rechtstreeks door de aanval waren getroffen) met ons te delen wat er gebeurde.
Table of Contents
Hackers hebben een TAIT-server en de e-mailaccounts van werknemers in gevaar gebracht
Op 16 februari bracht een ongeautoriseerde partij een van de servers van TAIT en de e-mailaccounts van enkele werknemers van het bedrijf in gevaar. Eenmaal binnen kregen de hackers toegang tot heel wat persoonlijke gegevens van TAIT-personeel, waaronder namen, fysieke en e-mailadressen, geboortedata, burgerservicenummers en financiële rekeningnummers. TAIT sloot de inbreuk, huurde een cyberbeveiligingsbedrijf in om te helpen bij het onderzoek en begon met het implementeren van maatregelen om ervoor te zorgen dat soortgelijke incidenten in de toekomst niet meer plaatsvinden.
Het bedrijf is er vast van overtuigd dat het geen bewijs heeft gezien van misbruik van de gegevens, maar voor de zekerheid is het klaar om getroffen werknemers gratis te voorzien van identiteitsdiefstalbeveiliging. De verklaring geeft veel details over wat mensen moeten doen om TAIT op dat aanbod in te nemen.
Er ontbreken te veel puzzelstukjes
Zoals we al zeiden, loopt het onderzoek nog steeds, wat suggereert dat zelfs TAIT nog geen volledig beeld heeft. Dat gezegd hebbende, er ontbreken zoveel details in de verklaring van vorige week dat het aantal gestelde vragen groter is dan dat van de beantwoorde.
We weten bijvoorbeeld niet hoeveel e-mailaccounts zijn aangevallen. Er is ook geen informatie over het aantal getroffen werknemers en we weten niet eens of de aanval op mensen in een specifieke regio was gericht of dat het de kantoren van TAIT over de hele wereld had getroffen. De methode die hackers gebruikten om de IT-systemen van TAIT in gevaar te brengen, is ook onbekend, wat betekent dat het moeilijk te zeggen is hoe geavanceerd de tegenstanders zijn en hoe erg de gevolgen kunnen zijn. Dit is niet het enige probleem.
Over die “wij nemen beveiliging zeer serieus” -verklaring
Bedrijven worden vaak bekritiseerd omdat ze hun meldingen van datalekken voorzien van een standaardzin die mensen er niet goed van kan overtuigen dat de aangevallen organisatie "de beveiliging zeer serieus neemt". De verklaring heeft geen enkele waarde voor de melding en lijkt in sommige gevallen ronduit hol.
De mensen die verantwoordelijk zijn voor de beveiliging van TAIT hebben bijvoorbeeld exact dezelfde bewering gedaan, maar ze hebben er niet voor gezorgd dat de bedrijfswebsite standaard onder HTTPS wordt geladen. Ze schepten ook op over het multi-factor authenticatiesysteem dat ze hebben geïntroduceerd. Multi-factor authenticatie bestaat al jaren en heeft zichzelf bewezen als de eenvoudigste manier om een betere gegevensbescherming te garanderen. Gezien de gevoeligheid en het volume van de gegevens die TAIT verwerkt, had het bedrijf waarschijnlijk moeten nadenken over de implementatie ervan vóór de cybercriminelen aanvallen in plaats van erna.
Al met al bewijst TAIT's inbreukmelding dat het makkelijker is om te zeggen dat u beveiliging serieus neemt dan daadwerkelijk te doen.
