Банк Америки обнаружил нарушение данных в программе защиты зарплаты SBA

Пандемия COVID-19 поставила перед нами ряд проблем, и хотя мы все почти уверены, что преодолеем их, некоторые из них представляют довольно много неожиданных трудностей. Например, сегодняшняя история покажет вам, как решения, которые мы используем для борьбы с кризисом, часто спешат, а иногда и ошибочны. Он также должен показать вам, насколько серьезными могут быть последствия всего этого.

Чтобы помочь малым предприятиям пережить пандемию, Администрация малого бизнеса США учредила Программу защиты зарплат. Предприятия, которые принимают в этом участие, могут получить ссуду, которая будет полностью прощена, если она будет напрямую использована для сохранения рабочей силы во время периода блокировки.

Предполагается, что деньги будут заимствованы банками, участвующими в программе, такими как Банк Америки (BofA), и они несут ответственность за обработку информации заявителей и ее передачу агентству. SBA быстро построило новую онлайн-платформу, чтобы облегчить это, и 22 апреля BofA проверила ее, подав несколько заявок. По причинам, которые остаются неясными, хотя это должно было стать проверкой, банк использовал реальные приложения, полные реальных данных. Конечно, в какой-то момент его служба безопасности заметила, что представленная информация была также доступна другим людям, вошедшим в систему.

Система тестирования SBA раскрыла информацию заявителей

На прошлой неделе Банк Америки направил уведомление о нарушении данных Генеральному прокурору штата Калифорния, чтобы раскрыть инцидент. Подробностей немного, но согласно письму, когда они подавали заявки 22 апреля, ИТ-специалисты BofA заметили изъян в системе SBA, который предоставил другим кредиторам доступ к документам.

Это вызывало беспокойство, поскольку в заявках содержалось довольно много информации о компаниях, обращающихся за кредитом, и их владельцах. Потенциально открытые данные включали:

• имена
• Сообщения электронной почты
• Домашние адреса
• Бизнес адреса
• Телефонные номера
• Налоговые идентификационные номера
• Номера социального страхования

Звучит страшнее, чем есть

Как только BofA заметила потенциальное воздействие, она уведомила SBA, и данные были удалены из уязвимой системы. В уведомлении о нарушении указывается, что нет никаких доказательств какого-либо несанкционированного доступа к данным, и представитель The Charlotte Business Journal сообщил, что число затронутых клиентов «мало». Тем не менее, поскольку в результате взлома использовалась какая-то крайне конфиденциальная информация, банк предоставляет потенциально вовлеченным клиентам двухлетнюю защиту от кражи личных данных. Инцидент не должен иметь никакого отношения к приложениям клиентов Paycheck Protection Program, и в целом он не выглядит как худшая утечка в мире. Однако утечка - это утечка, и мы должны извлечь из нее уроки.

BofA был не единственным банком для тестирования системы, но он единственный, кто раскрывает информацию о потенциальном воздействии данных, что может свидетельствовать о том, что другие кредиторы использовали фиктивную или неверную информацию. В любом случае, эксперты по безопасности данных в банке, вероятно, должны подумать о политике, используемой при обработке личных и деловых данных клиентов. Однако они не единственные, кто должен делать выводы из всего этого.

Очевидно, что у SBA не было времени, чтобы должным образом протестировать систему программы защиты зарплаты, но примерно за месяц до того, как Банк Америки обнаружил этот сбой, агентство пережило еще один, не связанный с этим инцидент, который предполагает, что безопасность данных, вероятно, должна быть повышена Список приоритетов SBA. В этом случае уязвимость угрожала раскрыть личную и деловую информацию 8000 заявителей в рамках программы «Ссуды на случай экономических травм».

Пандемия коронавируса не может служить оправданием для плохой обработки данных людей. Надеюсь, все ответственные поймут это, пока не станет слишком поздно.