Ett dataintrång av San Franciscos pensionssystem kan ha exponerat personlig finansiell information för 74 000 medlemmar
Staden San Francisco har inte haft de bästa månaderna när det gäller cybersäkerhet. Först, i mars, hackade cyberbrottslingar ett par av San Francisco International Airport: s webbplatser, och nu meddelade San Francisco-anställdas pensioneringssystem (SFERS) att vissa av dess medlemmars uppgifter kan ha äventyrats.
Table of Contents
Vad hände?
Enligt en anmälan om dataöverträdelse som publicerades förra veckan drabbar incidenten cirka 74 tusen människor. För aktiva SFERS-medlemmar inkluderar de utsatta detaljerna namn, hemadresser, födelsedatum samt personuppgifter från utsedda mottagare. Hackarna kan också ha haft tillgång till vissa IRS-formulär och bankruttningsnummer för pensionerade SFERS-medlemmar och kontinuenter, och meddelandet sade att användarnamn och säkerhetsfrågor och svar för byråns webbplats också kan ha äventyrats.
De exponerade uppgifterna inkluderar inga personnummer, bankkontonummer eller kreditkortsuppgifter, men ändå är risken för identitetsstöld mycket verklig för de drabbade individerna, varför de erbjuds ett års identitetsstöld till ett värde gratis skydd. Av en mängd försiktighet har SFERS också tvingat återställning av lösenord för berörda konton.
Vem var ansvarig?
Tillsammans med meddelandet om dataöverträdelse publicerade SFERS också en FAQ-sida. Det finns en "Hur hände detta?" fråga, men tyvärr ger det oss inga tekniska detaljer om vad som gick fel. Det säger dock att 10up Inc, en entreprenör som är anställd för att utveckla och underhålla SFERS onlinetjänst, är ansvarig för överträdelsen.
Tydligen, för en tid sedan, 10up inrättade en testserver för att testa nya funktioner och förbättra tjänsten. Istället för att använda dummy-uppgifter för testet, laddade dock leverantören ut en stillbild från augusti 2018 av SFERS databas som var full av människors personliga information.
"En extern part" fick obehörig åtkomst till servern den 24 februari, men 10up lärde sig inte om brottet förrän den 21 mars. Fem dagar senare informerade leverantören SFERS om det, och nu låter byrån alla veta.
Enligt anmälan är skälet till den försenade avslöjandet utredningen, som inleddes omedelbart efter att händelsen upptäcktes. Efter den nämnda utredningen kan SFERS och 10up inte säga definitivt om hackarna laddade ner databasen medan de hade tillgång till den.
Var det undvikbart?
De officiella tillkännagivandena ger oss inte en exakt uppfattning om vad som gick fel och varför, och SFERS verkar fast beslutna att inte ge bort någon teknisk information vid denna punkt. På grund av detta är det svårt att bedöma hur dåligt misstaget var och hur lätt det kunde ha undvikits.
Det måste sägas att för de människor som har fått sina personliga detaljer exponerat så gör detta inte riktigt stor skillnad. Det de behöver fokusera på är att vara lite mer försiktiga och se upp för tecken på identitetsstöld.
