Bank of America avslöjar ett dataöverträdelse vid SBA: s Paycheck Protection Program

COVID-19-pandemin har skapat oss ett antal utmaningar, och även om vi alla är ganska säkra på att vi kommer att övervinna dem, upplever några av dem en hel del oväntade svårigheter. Dagens historia, till exempel, kommer att visa dig hur lösningarna vi använder för att bekämpa krisen ofta utformas i en hast och ibland är felaktiga. Det bör också visa dig hur dåliga konsekvenserna av allt detta kan vara.

För att hjälpa små företag att överleva pandemin inrättade den amerikanska Small Business Administration Paycheck Protection Program. Företag som deltar i det kan få ett lån som kommer att förlåtas fullt ut om det direkt används för att hålla arbetskraften anställd under perioden för nedläggningen.

Pengarna ska vara lånade av banker som deltar i programmet som Bank of America (BofA), och det är deras ansvar att behandla sökandes information och överlämna den till byrån. SBA byggde snabbt en helt ny onlineplattform för att underlätta detta, och den 22 april testade BofA den genom att skicka in några ansökningar. Av orsaker som förblir oklara, även om detta var tänkt att vara ett test, använde banken riktiga applikationer fulla av verkliga data. Visst nog märkte dess säkerhetsteam vid en tidpunkt att den skickade informationen också var tillgänglig för andra personer som är inloggade i systemet.

Ett SBA-testsystem exponerade sökandes information

Förra veckan lämnade Bank of America ett meddelande om överträdelse av data till delstaten Kaliforniens riksadvokat för att avslöja händelsen. Detaljerna är få, men enligt brevet, när de lämnade in ansökningarna den 22 april, märkte BofA: s IT-proffs en brist i SBA: s system, vilket gav andra långivare tillgång till dokumenten.

Detta var en oro eftersom ansökningarna innehöll en hel del information om de företag som ansöker om lånet och deras ägare. De potentiellt exponerade uppgifterna inkluderade:

• namn
• E-post
• Hemadresser
• Affärsadresser
• Telefonnummer
• Skattidentifieringsnummer
• Socialförsäkringsnummer

Det låter skrämmande än det är

Så snart BofA märkte den potentiella exponeringen, meddelade den SBA och data raderades från det sårbara systemet. Meddelandet om överträdelse påpekar att det inte finns några bevis för obehörig åtkomst till uppgifterna, och en talesman berättade för The Charlotte Business Journal att antalet berörda kunder är "litet". Eftersom brottet involverade mycket extremt känslig information ger banken ändå potentiellt involverade kunder två års identitetsstöldskydd. Händelsen bör inte ha någon inverkan på klienternas Paycheck Protection Program-applikationer, och allt ser det inte ut som värsta läcka i världen. En läcka är dock en läcka, och vi måste lära oss av den.

BofA var inte den enda banken som testade systemet, men det är den enda som avslöjar en potentiell dataexponering, som kanske eller inte kan antyda att andra långivare använde dummy eller ogiltig information. Hur som helst bör datasäkerhetsexperter i banken nog tänka på de policyer som används vid bearbetning av kunders personliga och affärsuppgifter. Men de är inte de enda som borde dra slutsatser från allt detta.

Det är uppenbart att SBA inte hade tid att ordentligt testa Paycheck Protection Program-systemet, men ungefär en månad innan Bank of America upptäckte detta fel, gick byrån igen en annan, oberoende incident som antyder att datasäkerhet förmodligen borde skjutas upp SBA: s prioriteringslista. I så fall hotade en sårbarhet att utsätta den privata och affärsmässiga informationen till 8 000 sökande för programmet för ekonomisk skada katastroflån.

Coronavirus-pandemin kan inte vara en ursäkt för dålig hantering av människors data. Förhoppningsvis kommer alla ansvariga att förstå detta innan det är för sent.