Bank of America ujawnia naruszenie danych w programie ochrony płatności SBA

Pandemia COVID-19 postawiła przed nami wiele wyzwań i chociaż wszyscy jesteśmy prawie pewni, że je pokonamy, niektóre z nich stwarzają całkiem nieoczekiwane trudności. Na przykład dzisiejsza historia pokaże, w jaki sposób rozwiązania, których używamy do walki z kryzysem, są często opracowywane w pośpiechu, a czasem są wadliwe. Powinien także pokazać, jak złe mogą być konsekwencje tego wszystkiego.

Aby pomóc małym firmom przetrwać pandemię, amerykańska administracja małych przedsiębiorstw ustanowiła program ochrony przed wypłatami. Przedsiębiorstwa, które biorą w nim udział, mogą uzyskać pożyczkę, która zostanie całkowicie umorzona, jeśli zostanie bezpośrednio wykorzystana do utrzymania siły roboczej zatrudnionej w okresie blokady.

Pieniądze mają być pożyczane przez banki uczestniczące w programie, takie jak Bank of America (BofA), a ich zadaniem jest przetwarzanie informacji wnioskodawców i przekazywanie ich agencji. SBA szybko zbudowało nową platformę internetową, aby to ułatwić, a 22 kwietnia BofA testowało ją, przesyłając niektóre aplikacje. Z przyczyn, które pozostają niejasne, chociaż miał to być test, bank używał prawdziwych aplikacji pełnych prawdziwych danych. Z pewnością w pewnym momencie zespół ds. Bezpieczeństwa zauważył, że przesłane informacje były również dostępne dla innych osób zalogowanych do systemu.

System testowy SBA ujawnił informacje wnioskodawców

W ubiegłym tygodniu Bank of America złożył powiadomienie o naruszeniu danych do prokuratora generalnego stanu Kalifornia w celu ujawnienia incydentu. Szczegóły są nieliczne, ale zgodnie z listem, gdy składali wnioski 22 kwietnia, specjaliści IT BofA zauważyli wadę w systemie SBA, który dał innym pożyczkodawcom dostęp do dokumentów.

To było zmartwienie, ponieważ dokumenty zawierały całkiem sporo informacji o firmach ubiegających się o pożyczkę i ich właścicielach. Potencjalnie narażone dane obejmowały:

• Nazwy
• E-maile
• Adresy domowe
• Adresy firm
• Numery telefoniczne
• Numery identyfikacji podatkowej
• Numery ubezpieczenia społecznego

Brzmi straszniej niż jest

Gdy tylko BofA zauważył potencjalne narażenie, powiadomił SBA, a dane zostały usunięte z podatnego systemu. Powiadomienie o naruszeniu wskazuje, że nie ma dowodów na nieautoryzowany dostęp do danych, a rzecznik powiedział The Charlotte Business Journal, że liczba dotkniętych klientów jest „mała”. Niemniej jednak, ponieważ naruszenie dotyczyło bardzo wrażliwych informacji, bank zapewnia potencjalnie zaangażowanym klientom ochronę na dwa lata przed kradzieżą tożsamości. Incydent nie powinien mieć wpływu na aplikacje programu ochrony płatności klienta, a w sumie nie wygląda to na najgorszy wyciek na świecie. Wyciek jest jednak wyciek i musimy się z niego uczyć.

BofA nie był jedynym bankiem testującym system, ale jest jedynym, który ujawnia potencjalną ekspozycję danych, która może, ale nie musi sugerować, że inni pożyczkodawcy wykorzystali fałszywe lub nieprawidłowe informacje. W każdym razie eksperci ds. Bezpieczeństwa danych w banku powinni prawdopodobnie pomyśleć o zasadach stosowanych przy przetwarzaniu danych osobowych i biznesowych klientów. Jednak nie tylko oni powinni wyciągać z tego wnioski.

Oczywiste jest, że SBA nie zdążyło odpowiednio przetestować systemu ochrony przed wypłatami, ale około miesiąc przed tym, jak Bank of America odkrył tę usterkę, agencja przeszła kolejny, niezwiązany z nią incydent, który sugeruje, że bezpieczeństwo danych powinno zostać prawdopodobnie zwiększone Lista priorytetowa SBA. W takim przypadku luka zagroziła ujawnieniem informacji prywatnych i biznesowych 8 000 wnioskodawców w programie pożyczki na wypadek katastrof gospodarczych.

Pandemia koronawirusa nie może być usprawiedliwieniem złej obsługi danych ludzi. Mamy nadzieję, że wszyscy odpowiedzialni zrozumieją to, zanim będzie za późno.