Нарушение данных пенсионной системы Сан-Франциско могло раскрыть личную финансовую информацию 74 000 членов
У города Сан-Франциско не было лучших месяцев, когда дело дошло до кибербезопасности. Во-первых, в марте киберпреступники взломали пару сайтов международного аэропорта Сан-Франциско, и теперь система пенсионного обеспечения сотрудников Сан-Франциско (SFERS) объявила, что некоторые данные ее членов могут быть скомпрометированы.
Table of Contents
Что случилось?
Согласно опубликованному на прошлой неделе уведомлению о нарушении данных, инцидент затрагивает около 74 тысяч человек. Для активных членов SFERS раскрытые данные включают имена, домашние адреса, даты рождения, а также личные данные назначенных бенефициаров. Хакеры, возможно, также имели доступ к некоторым формам IRS и номерам банковских маршрутов вышедших на пенсию членов и продолжателей SFERS, и в уведомлении говорилось, что имена пользователей, а также вопросы безопасности и ответы на веб-сайте агентства также могли быть скомпрометированы.
Представленные данные не включают в себя номера социального страхования, номера банковских счетов или данные кредитной карты, но даже в этом случае риск кражи личных данных весьма вероятен для пострадавших лиц, поэтому им предлагается годовая кража личных данных. защита бесплатно. Из-за предосторожности SFERS также принудительно сбросил пароль для уязвимых учетных записей.
Кто был ответственным?
Помимо уведомления о нарушении данных, SFERS также опубликовал страницу часто задаваемых вопросов. Существует "Как это случилось?" вопрос, но, к сожалению, он не дает нам никаких технических подробностей о том, что пошло не так. Однако в нем говорится, что 10up Inc, подрядчик, нанятый для разработки и поддержки онлайн-сервиса SFERS, несет ответственность за нарушение.
Видимо, некоторое время назад 10up настроил тестовый сервер, чтобы опробовать новые функции и улучшить сервис. Однако вместо использования фиктивных данных для целей тестирования поставщик загрузил в августе 2018 года снимок базы данных SFERS, которая была полна личной информации людей.
«Внешняя сторона» получила несанкционированный доступ к серверу 24 февраля, но 10up не узнала о нарушении до 21 марта. Пять дней спустя продавец сообщил об этом SFERS, и теперь агентство сообщает всем об этом.
Согласно уведомлению, причиной задержанного раскрытия является расследование, которое началось сразу после того, как инцидент был раскрыт. После указанного расследования SFERS и 10up не могут однозначно сказать, загрузили ли хакеры базу данных, пока они имели к ней доступ.
Было ли этого избежать?
Официальные объявления не дают нам точного представления о том, что пошло не так и почему, и SFERS, похоже, полон решимости не выдавать никакой технической информации на данный момент. Из-за этого трудно оценить, насколько серьезна была ошибка и насколько легко ее можно было избежать.
Надо сказать, что для людей, которые раскрыли свои личные данные, это не имеет большого значения. Им нужно сосредоточиться на том, чтобы быть немного осторожнее и следить за признаками кражи личных данных.
