Uma violação de dados do sistema de pensões de São Francisco pode ter exposto informações financeiras pessoais de 74.000 membros
A cidade de São Francisco não teve os melhores meses quando se trata de segurança cibernética. Primeiro, em março, os cibercriminosos invadiram alguns sites do Aeroporto Internacional de São Francisco e, agora, o Sistema de Aposentadoria dos Funcionários de São Francisco (SFERS) anunciou que alguns dos dados de seus membros podem ter sido comprometidos.
Índice
O que aconteceu?
Segundo uma notificação de violação de dados publicada na semana passada, o incidente afeta cerca de 74 mil pessoas. Para membros ativos do SFERS, os detalhes expostos incluem nomes, endereços residenciais, datas de nascimento e dados pessoais dos beneficiários designados. Os hackers também podem ter acesso a alguns formulários do IRS e números de roteamento bancário de membros e continuantes aposentados do SFERS, e o aviso dizia que nomes de usuário e perguntas e respostas de segurança para o site da agência também podem ter sido comprometidos.
Os dados expostos não incluem números de previdência social, números de contas bancárias ou detalhes de cartão de crédito, mas, mesmo assim, o risco de roubo de identidade é muito real para os indivíduos afetados, e é por isso que eles recebem um ano de roubo de identidade proteção de graça. Por muita cautela, o SFERS também forçou uma redefinição de senha para as contas afetadas.
Quem foi o responsável?
Juntamente com a notificação de violação de dados, o SFERS também publicou uma página de Perguntas frequentes. Existe um "Como isso aconteceu?" pergunta, mas infelizmente não nos fornece nenhum detalhe técnico sobre o que deu errado. Diz, no entanto, que a 10up Inc, uma empresa contratada para desenvolver e manter o serviço online do SFERS, é responsável pela violação.
Aparentemente, há algum tempo, o 10up configurou um servidor de teste para testar novos recursos e melhorar o serviço. Em vez de usar dados fictícios para fins de teste, no entanto, o fornecedor enviou um instantâneo de agosto de 2018 do banco de dados do SFERS que estava cheio de informações pessoais das pessoas.
"Uma parte externa" obteve acesso não autorizado ao servidor em 24 de fevereiro, mas o 10up não soube da violação até 21 de março. Cinco dias depois, o fornecedor informou o SFERS sobre o assunto e agora a agência está informando a todos.
Segundo a notificação, o motivo da divulgação tardia é a investigação, iniciada imediatamente após a descoberta do incidente. Após a investigação, o SFERS e o 10up não podem dizer definitivamente se os hackers fizeram o download do banco de dados enquanto tinham acesso a ele.
Foi evitável?
Os anúncios oficiais não nos dão uma idéia precisa do que deu errado e por quê, e o SFERS parece determinado a não divulgar nenhuma informação técnica neste momento. Por causa disso, é difícil avaliar o quão ruim foi o erro e com que facilidade ele poderia ter sido evitado.
Deve-se dizer que, para as pessoas que tiveram seus dados pessoais expostos, isso realmente não faz muita diferença. O que eles precisam focar é ser um pouco mais cuidadoso e atento a sinais de roubo de identidade.
