Bank of America revela uma violação de dados no programa de proteção de pagamento da SBA
A pandemia do COVID-19 nos colocou vários desafios e, embora tenhamos certeza de que os superaremos, alguns deles apresentam algumas dificuldades inesperadas. A história de hoje, por exemplo, mostrará como as soluções que usamos para combater a crise são frequentemente projetadas às pressas e às vezes são falhas. Também deve mostrar o quão ruins podem ser as consequências disso tudo.
Para ajudar as pequenas empresas a sobreviver à pandemia, a Administração de Pequenas Empresas dos EUA criou o Programa de Proteção de Pagamento. As empresas que participam dele podem obter um empréstimo que será totalmente perdoado se for usado diretamente para manter a força de trabalho empregada durante o período do bloqueio.
O dinheiro deve ser emprestado pelos bancos participantes do programa, como o Bank of America (BofA), e é sua responsabilidade processar as informações dos candidatos e entregá-las à agência. A SBA construiu rapidamente uma nova plataforma on-line para facilitar isso e, em 22 de abril, o BofA estava testando-a enviando alguns aplicativos. Por razões que ainda não estão claras, embora isso devesse ser um teste, o banco estava usando aplicativos reais cheios de dados reais. Com certeza, em um ponto, sua equipe de segurança percebeu que as informações enviadas também estavam acessíveis a outras pessoas conectadas ao sistema.
Um sistema de teste da SBA expôs as informações dos candidatos
Na semana passada, o Bank of America apresentou uma notificação de violação de dados ao Procurador-Geral do Estado da Califórnia para divulgar o incidente. Os detalhes são poucos, mas, de acordo com a carta, quando eles enviavam as solicitações de 22 de abril, os profissionais de TI do BofA notaram uma falha no sistema da SBA, que deu a outros credores acesso aos documentos.
Isso foi uma preocupação, porque os registros continham muitas informações sobre as empresas que solicitavam o empréstimo e seus proprietários. Os dados potencialmente expostos incluem:
- Nomes
- Emails
- Endereços residenciais
- Endereços comerciais
- Números de telefone
- Números de identificação fiscal
- Números de Segurança Social
Parece mais assustador do que é
Assim que o BofA notou a exposição potencial, notificou o SBA e os dados foram excluídos do sistema vulnerável. O aviso de violação indica que não há evidências de acesso não autorizado aos dados, e um porta-voz disse ao Charlotte Business Journal que o número de clientes afetados é "pequeno". No entanto, como a violação envolveu algumas informações extremamente sensíveis, o banco está fornecendo aos clientes potencialmente envolvidos dois anos de proteção contra roubo de identidade. O incidente não deve ter influência sobre os aplicativos do Programa de proteção de pagamento dos clientes e, em suma, não parece o pior vazamento do mundo. Um vazamento é um vazamento, no entanto, e devemos aprender com ele.
O BofA não foi o único banco a testar o sistema, mas é o único que está divulgando uma exposição potencial de dados, o que pode ou não sugerir que outros credores usem informações fictícias ou inválidas. Seja qual for o caso, os especialistas em segurança de dados do banco provavelmente devem pensar nas políticas empregadas ao processar os detalhes pessoais e comerciais dos clientes. Eles não são os únicos que deveriam tirar conclusões disso tudo, no entanto.
É óbvio que o SBA não teve tempo de testar adequadamente o sistema do Programa de Proteção de Pagamento, mas cerca de um mês antes do Bank of America descobrir essa falha, a agência passou por outro incidente não relacionado, que sugere que a segurança dos dados provavelmente deveria ser aumentada. Lista de prioridades da SBA. Nesse caso, uma vulnerabilidade ameaçava expor as informações privadas e comerciais de 8.000 solicitantes ao programa Empréstimo econômico para desastres por lesões.
A pandemia de coronavírus não pode ser uma desculpa para o manuseio inadequado dos dados das pessoas. Felizmente, todos os responsáveis entenderão isso antes que seja tarde demais.