Bank of America revela uma violação de dados no programa de proteção de pagamento da SBA

Bank of America Reveals Data Breach at SBA's Paycheck Protection Program

A pandemia do COVID-19 nos colocou vários desafios e, embora tenhamos certeza de que os superaremos, alguns deles apresentam algumas dificuldades inesperadas. A história de hoje, por exemplo, mostrará como as soluções que usamos para combater a crise são frequentemente projetadas às pressas e às vezes são falhas. Também deve mostrar o quão ruins podem ser as consequências disso tudo.

Para ajudar as pequenas empresas a sobreviver à pandemia, a Administração de Pequenas Empresas dos EUA criou o Programa de Proteção de Pagamento. As empresas que participam dele podem obter um empréstimo que será totalmente perdoado se for usado diretamente para manter a força de trabalho empregada durante o período do bloqueio.

O dinheiro deve ser emprestado pelos bancos participantes do programa, como o Bank of America (BofA), e é sua responsabilidade processar as informações dos candidatos e entregá-las à agência. A SBA construiu rapidamente uma nova plataforma on-line para facilitar isso e, em 22 de abril, o BofA estava testando-a enviando alguns aplicativos. Por razões que ainda não estão claras, embora isso devesse ser um teste, o banco estava usando aplicativos reais cheios de dados reais. Com certeza, em um ponto, sua equipe de segurança percebeu que as informações enviadas também estavam acessíveis a outras pessoas conectadas ao sistema.

Um sistema de teste da SBA expôs as informações dos candidatos

Na semana passada, o Bank of America apresentou uma notificação de violação de dados ao Procurador-Geral do Estado da Califórnia para divulgar o incidente. Os detalhes são poucos, mas, de acordo com a carta, quando eles enviavam as solicitações de 22 de abril, os profissionais de TI do BofA notaram uma falha no sistema da SBA, que deu a outros credores acesso aos documentos.

Isso foi uma preocupação, porque os registros continham muitas informações sobre as empresas que solicitavam o empréstimo e seus proprietários. Os dados potencialmente expostos incluem:

  • Nomes
  • Emails
  • Endereços residenciais
  • Endereços comerciais
  • Números de telefone
  • Números de identificação fiscal
  • Números de Segurança Social

Parece mais assustador do que é

Assim que o BofA notou a exposição potencial, notificou o SBA e os dados foram excluídos do sistema vulnerável. O aviso de violação indica que não há evidências de acesso não autorizado aos dados, e um porta-voz disse ao Charlotte Business Journal que o número de clientes afetados é "pequeno". No entanto, como a violação envolveu algumas informações extremamente sensíveis, o banco está fornecendo aos clientes potencialmente envolvidos dois anos de proteção contra roubo de identidade. O incidente não deve ter influência sobre os aplicativos do Programa de proteção de pagamento dos clientes e, em suma, não parece o pior vazamento do mundo. Um vazamento é um vazamento, no entanto, e devemos aprender com ele.

O BofA não foi o único banco a testar o sistema, mas é o único que está divulgando uma exposição potencial de dados, o que pode ou não sugerir que outros credores usem informações fictícias ou inválidas. Seja qual for o caso, os especialistas em segurança de dados do banco provavelmente devem pensar nas políticas empregadas ao processar os detalhes pessoais e comerciais dos clientes. Eles não são os únicos que deveriam tirar conclusões disso tudo, no entanto.

É óbvio que o SBA não teve tempo de testar adequadamente o sistema do Programa de Proteção de Pagamento, mas cerca de um mês antes do Bank of America descobrir essa falha, a agência passou por outro incidente não relacionado, que sugere que a segurança dos dados provavelmente deveria ser aumentada. Lista de prioridades da SBA. Nesse caso, uma vulnerabilidade ameaçava expor as informações privadas e comerciais de 8.000 solicitantes ao programa Empréstimo econômico para desastres por lesões.

A pandemia de coronavírus não pode ser uma desculpa para o manuseio inadequado dos dados das pessoas. Felizmente, todos os responsáveis entenderão isso antes que seja tarde demais.

May 27, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.