Een gegevensinbreuk in het pensioenstelsel van San Francisco kan persoonlijke financiële informatie van 74.000 deelnemers hebben blootgelegd
De stad San Francisco heeft de beste maanden niet gehad als het gaat om cyberbeveiliging. Ten eerste hebben cybercriminelen in maart een paar websites van San Francisco International Airport gehackt en nu kondigde het San Francisco Employees 'Retirement System (SFERS) aan dat sommige gegevens van haar leden mogelijk zijn aangetast.
Table of Contents
Wat is er gebeurd?
Volgens een vorige week gepubliceerde melding van een datalek treft het incident ongeveer 74 duizend mensen. Voor actieve SFERS-leden omvatten de blootgestelde details namen, woonadressen, geboortedata en de persoonlijke gegevens van aangewezen begunstigden. De hackers hadden mogelijk ook toegang tot sommige IRS-formulieren en bankrouteringsnummers van gepensioneerde SFERS-leden en continuïteiten, en in de kennisgeving stond dat gebruikersnamen en beveiligingsvragen en antwoorden voor de website van het bureau mogelijk ook in gevaar waren gebracht.
De blootgestelde gegevens bevatten geen burgerservicenummers, bankrekeningnummers of creditcardgegevens, maar toch is het risico van identiteitsdiefstal zeer reëel voor de getroffen personen, daarom krijgen ze een jaar lang identiteitsdiefstal aangeboden. gratis bescherming. Uit voorzorg heeft SFERS ook een wachtwoordreset geforceerd voor getroffen accounts.
Wie was verantwoordelijk?
Naast de melding van datalekken heeft SFERS ook een pagina met veelgestelde vragen gepubliceerd. Er is een "Hoe is dit gebeurd?" vraag, maar helaas geeft het ons geen technische details over wat er fout is gegaan. Er staat echter wel dat 10up Inc, een aannemer die is ingehuurd om de online service van SFERS te ontwikkelen en te onderhouden, verantwoordelijk is voor de inbreuk.
Blijkbaar heeft 10up enige tijd geleden een testserver opgezet om nieuwe functies uit te proberen en de service te verbeteren. In plaats van dummy-gegevens te gebruiken om te testen, uploadde de leverancier echter een momentopname van augustus 2018 van de SFERS-database die vol stond met persoonlijke informatie van mensen.
"Een externe partij" kreeg op 24 februari ongeautoriseerde toegang tot de server, maar 10up hoorde pas op 21 maart over de inbreuk. Vijf dagen later informeerde de leverancier SFERS hierover en nu laat het bureau iedereen weten.
De reden voor de vertraagde openbaarmaking is volgens de melding het onderzoek dat direct na het aan het licht komen van het incident is begonnen. Na dat onderzoek kunnen SFERS en 10up niet definitief zeggen of de hackers de database hebben gedownload terwijl ze er toegang toe hadden.
Was het te vermijden?
De officiële aankondigingen geven ons geen precies idee van wat er mis is gegaan en waarom, en SFERS lijkt vastbesloten om op dit moment geen technische informatie weg te geven. Hierdoor is het moeilijk in te schatten hoe erg de fout was en hoe gemakkelijk deze had kunnen worden voorkomen.
Het moet gezegd dat dit voor de mensen aan wie hun persoonlijke gegevens zijn blootgesteld, niet echt een groot verschil maakt. Waar ze zich op moeten concentreren, is wat voorzichtiger zijn en uitkijken naar tekenen van identiteitsdiefstal.
