Naruszenie danych systemu emerytalnego w San Francisco może ujawnić osobiste informacje finansowe 74 000 członków
Miasto San Francisco nie miało najlepszych miesięcy, jeśli chodzi o cyberbezpieczeństwo. Najpierw w marcu cyberprzestępcy zhakowali kilka stron internetowych międzynarodowego lotniska w San Francisco, a teraz system emerytalny pracowników San Francisco (SFERS) ogłosił, że niektóre dane jego członków mogły zostać naruszone.
Table of Contents
Co się stało?
Zgodnie z powiadomieniem o naruszeniu danych opublikowanym w zeszłym tygodniu, incydent dotyczy około 74 tysięcy osób. W przypadku aktywnych członków SFERS ujawnione dane obejmują nazwiska, adresy domowe, daty urodzenia, a także dane osobowe wyznaczonych beneficjentów. Hakerzy mogli mieć również dostęp do niektórych formularzy IRS i numerów bankowych kierowników emerytowanych członków i kontynuujących SFERS, a zawiadomienie mówiło, że nazwy użytkowników, pytania bezpieczeństwa i odpowiedzi na stronie internetowej agencji mogły być również zagrożone.
Ujawnione dane nie obejmują żadnych numerów ubezpieczenia społecznego, numerów kont bankowych ani danych karty kredytowej, ale mimo to ryzyko kradzieży tożsamości jest bardzo realne dla dotkniętych osób, dlatego oferuje się im roczną kradzież tożsamości ochrona za darmo. Z powodu dużej ostrożności SFERS wymusił również resetowanie hasła dla kont, których dotyczy problem.
Kto był odpowiedzialny?
Oprócz powiadomienia o naruszeniu danych SFERS opublikowała również stronę z często zadawanymi pytaniami. Istnieje „Jak to się stało?” pytanie, ale niestety nie podaje nam żadnych szczegółów technicznych dotyczących tego, co poszło nie tak. Mówi jednak, że za naruszenie odpowiada 10up Inc, wykonawca zatrudniony w celu opracowania i utrzymania usługi online SFERS.
Najwyraźniej jakiś czas temu 10up skonfigurował serwer testowy, aby wypróbować nowe funkcje i ulepszyć usługę. Zamiast wykorzystywać fikcyjne dane do celów testowych, sprzedawca przesłał migawkę bazy danych SFERS z sierpnia 2018 r., Która była pełna danych osobowych ludzi.
„Strona zewnętrzna” uzyskała nieautoryzowany dostęp do serwera 24 lutego, ale 10up nie dowiedziała się o naruszeniu dopiero 21 marca. Pięć dni później sprzedawca poinformował o tym SFERS, a teraz agencja informuje wszystkich.
Zgodnie z powiadomieniem przyczyną opóźnionego ujawnienia jest dochodzenie, które rozpoczęło się natychmiast po ujawnieniu incydentu. Po wspomnianym dochodzeniu SFERS i 10up nie mogą ostatecznie stwierdzić, czy hakerzy pobrali bazę danych, gdy mieli do niej dostęp.
Czy można tego było uniknąć?
Oficjalne ogłoszenia nie dają nam dokładnego wyobrażenia o tym, co poszło nie tak i dlaczego, a SFERS wydaje się zdeterminowana, aby w tej chwili nie przekazywać żadnych informacji technicznych. Z tego powodu trudno jest ocenić, jak poważny był błąd i jak łatwo można go było uniknąć.
Trzeba powiedzieć, że dla osób, które ujawniły swoje dane osobowe, nie ma to większego znaczenia. Muszą się skupić na większej ostrożności i uważaniu na oznaki kradzieży tożsamości.
