Ett dataöverträdelse hos en tillverkare av utrustning för live-evenemang avslöjar anställdas personliga och ekonomiska data
Förra veckan TAIT Towers Manufacturing LLC, en tillverkare av utrustning för live-evenemang och konserter som har arbetat med artister som Lady Gaga och Taylor Swift, utfärdade ett av dessa uttalanden där det har att förklara hur det tar datasäkerhet på största allvar. Som många av er förmodligen vet, gör företag det först efter att de har drabbats av ett dataintrång.
Attacken inträffade faktiskt för ungefär fyra månader sedan i februari, men företaget lärde sig inte om det förrän den 6 april. Efter att det blev medvetet om brottet inledde det omedelbart en utredning, som fortfarande pågår. Ändå var TAIT vänlig nog att dela med oss (och de människor som var direkt drabbade av attacken) vad som hände.
Table of Contents
Hackare komprometterade en TAIT-server och anställdas e-postkonton
Den 16 februari kompromissa en obehörig part en av TAIT: s servrar och e-postkonton för några av företagets anställda. En gång inuti fick hackarna tillgång till en hel del personlig information om TAIT-personal, inklusive namn, fysiska och e-postadresser, födelsedatum, personnummer och finansiella kontonummer. TAIT stängde brottet, anlitade ett cybersecurity-företag för att hjälpa till med utredningen och började arbeta med att genomföra åtgärder för att säkerställa att liknande incidenter inte händer i framtiden.
Företaget är fast på att det inte har sett några bevis för att någon av uppgifterna har missbrukats, men för att vara på den säkra sidan är det redo att ge berörda anställda tjänster för skydd av identitetsstöld gratis. Uttalandet ger många detaljer om vad folk behöver göra för att ta TAIT på det erbjudandet.
För många pusselbitar saknas
Som vi nämnde pågår fortfarande utredningen, vilket tyder på att till och med TAIT ännu inte har fått den fullständiga bilden. Med det sagt så saknas så många detaljer i förra veckans uttalande, att antalet uppkomna frågor överstiger de svarade.
Vi vet till exempel inte hur många e-postkonton som attackerades. Det finns ingen information om antalet berörda anställda heller, och vi vet inte ens om attacken riktade personer i en viss region eller om det påverkade TAIT: s kontor över hela världen. Metoden hackare som används för att kompromissa med TAITs IT-system är också okänd, vilket innebär att det är svårt att säga hur sofistikerade motståndarna är och hur dåliga konsekvenserna kan vara. Detta är inte det enda problemet.
Om det “vi tar säkerheten mycket på allvar”
Företagen kritiseras ofta för att de har anmält sina anmälningar om dataöverträdelser med en pannplåtsdom som inte gör ett särskilt bra jobb med att övertyga människor om att den angripna organisationen "tar säkerheten mycket på allvar." Uttalandet ger verkligen inget värde för meddelandet, och i vissa fall verkar det helt ihåligt.
Till exempel gjorde de personer som ansvarar för TAITs säkerhet samma exakta anspråk, men ändå misslyckades de med att se till att företagets webbplats laddas under HTTPS som standard. De skryter också av det flerfaktors autentiseringssystem som de har infört. Verifiering av flera faktorer har funnits i flera år, och det har visat sig vara det enklaste sättet att säkerställa bättre dataskydd. Med tanke på känsligheten och volymen av de uppgifter som TAIT hanterar, borde företaget troligtvis ha funderat på att implementera det innan cyberbrottsattacken snarare än efter det.
Sammantaget bevisar TAITs överträdelseanmälan att det är lättare att säga att du tar säkerhet på allvar än att göra det.
