Naruszenie danych podczas wydarzenia na żywo Producent sprzętu ujawnia dane osobowe i finansowe pracowników
W zeszłym tygodniu TAIT Towers Manufacturing LLC, producent sprzętu do wydarzeń na żywo i koncertów, który współpracował z takimi kobietami jak Lady Gaga i Taylor Swift, wydał jedno z tych oświadczeń, w którym musi wyjaśnić, w jaki sposób traktuje bezpieczeństwo danych bardzo poważnie. Jak zapewne wielu z was wie, firmy robią to dopiero po tym, jak ucierpią na naruszeniu danych.
Atak miał miejsce w lutym cztery miesiące temu, ale firma dowiedziała się o tym dopiero 6 kwietnia. Po powiadomieniu o naruszeniu, natychmiast rozpoczęło dochodzenie, które wciąż trwa. Niemniej jednak TAIT był na tyle uprzejmy, aby podzielić się z nami (i ludźmi, których bezpośrednio uderzył atak), co się stało.
Table of Contents
Hakerzy włamali się na serwer TAIT i konta e-mail pracowników
16 lutego nieupoważniona strona naraziła na szwank jeden z serwerów TAIT i konta e-mail niektórych pracowników firmy. Po wejściu do środka hakerzy uzyskali dostęp do wielu danych osobowych pracowników TAIT, w tym nazwisk, adresów fizycznych i e-mail, dat urodzenia, numerów ubezpieczenia społecznego i numerów kont finansowych. TAIT zamknął naruszenie, zatrudnił firmę zajmującą się cyberbezpieczeństwem, aby pomógł w dochodzeniu, i rozpoczął prace nad wdrożeniem środków zapewniających, że podobne incydenty nie będą miały miejsca w przyszłości.
Firma jest przekonana, że nie widziała dowodów na niewłaściwe wykorzystanie danych, ale dla pewności jest gotowa zapewnić pracownikom, których to dotyczy, bezpłatne usługi ochrony przed kradzieżą tożsamości. Oświadczenie zawiera wiele szczegółowych informacji na temat tego, co ludzie muszą zrobić, aby skorzystać z oferty TAIT.
Brakuje zbyt wielu elementów układanki
Jak już wspomnieliśmy, dochodzenie wciąż trwa, co sugeruje, że nawet TAIT nie ma jeszcze pełnego obrazu. To powiedziawszy, tak wiele szczegółów brakuje w zeszłym tygodniu, że liczba zadawanych pytań przewyższa liczbę pytań, na które udzielono odpowiedzi.
Nie wiemy na przykład, ile kont e-mail zostało zaatakowanych. Nie ma również informacji na temat liczby pracowników, których to dotyczy, i nie wiemy nawet, czy atak był skierowany do osób w jednym konkretnym regionie, czy też wpłynął na biura TAIT na całym świecie. Metoda, której hakerzy użyli do naruszenia systemów informatycznych TAIT, jest również nieznana, co oznacza, że trudno jest powiedzieć, jak wyrafinowani są przeciwnicy i jak ciężkie mogą być ich konsekwencje. To nie jedyny problem.
O tym stwierdzeniu „traktujemy bezpieczeństwo bardzo poważnie”
Firmy są często krytykowane za dostarczanie powiadomień o naruszeniu danych w formie zdania, które nie sprawdza się w przekonaniu ludzi, że zaatakowana organizacja „traktuje bezpieczeństwo bardzo poważnie”. Oświadczenie tak naprawdę nie wnosi żadnej wartości do powiadomienia, aw niektórych przypadkach wydaje się wręcz puste.
Na przykład osoby odpowiedzialne za bezpieczeństwo TAIT złożyły takie same dokładne roszczenia, ale nie upewniły się, że strona firmowa ładuje się domyślnie pod HTTPS. Chwalili się także wprowadzonym przez siebie systemem uwierzytelniania wieloskładnikowego. Uwierzytelnianie wieloskładnikowe istnieje od lat i sprawdziło się jako najprostszy sposób zapewnienia lepszej ochrony danych. Biorąc pod uwagę wrażliwość i ilość danych przetwarzanych przez TAIT, firma prawdopodobnie powinna pomyśleć o wdrożeniu go przed atakiem cyberprzestępców, a nie po nim.
Podsumowując, powiadomienie TAIT o naruszeniu dowodzi, że powiedzenie, że poważnie traktujesz bezpieczeństwo, jest łatwiejsze niż faktyczne.
