美国银行在SBA的薪资保护计划中发现数据泄露
COVID-19流行病给我们带来了许多挑战,尽管我们都非常确定自己会克服这些挑战,但是其中一些挑战带来了许多意想不到的困难。例如,今天的故事将向您展示我们用来应对危机的解决方案通常是着急设计的,有时甚至是有缺陷的。它还应该向您显示所有这些后果的严重程度。
为了帮助小型企业度过大流行,美国小型企业管理局制定了“ 薪资保护计划” 。参与该计划的企业可以得到一笔贷款,如果该笔款项在锁定期间直接用于保持雇用的劳动力,则该笔贷款将被完全免除。
这笔钱应该由参与该计划的银行(例如美国银行)借出,它们有责任处理申请人的信息并将其移交给代理商。 SBA迅速建立了一个全新的在线平台来促进这一工作。4月22日,美国银行通过提交一些申请对其进行了测试。由于尚不清楚的原因,尽管这应该是一个测试,但该银行正在使用充满真实数据的真实应用程序。毫无疑问,其安全团队注意到,登录到该系统的其他人也可以访问所提交的信息。
SBA测试系统公开了申请人的信息
上周,美国银行向加利福尼亚州检察长提交了数据泄露通知 ,以披露该事件。详细信息很少,但据信中所述,在他们提交4月22日的申请时,美国银行的IT专业人员注意到SBA系统的缺陷,该缺陷使其他贷方可以访问这些文件。
令人担忧的是,文件中包含有关申请贷款的企业及其所有者的大量信息。可能暴露的数据包括:
- 名字
- 电邮
- 住家地址
- 公司地址
- 电话号码
- 税务识别号
- 社会安全号码
听起来比现在更可怕
美国银行一发现潜在的风险,便通知SBA,并从易受攻击的系统中删除了数据。违规通知指出,没有证据表明有人未经授权访问了数据,一位发言人告诉《夏洛特商业期刊 》,受影响的客户数量“很小”。但是,由于该违规行为涉及一些极其敏感的信息,因此该银行为潜在涉案客户提供了价值两年的身份盗窃保护。该事件应该与客户的“薪资保护计划”应用程序无关,总而言之,这看起来像世界上最严重的泄漏。但是,泄漏就是泄漏,我们必须从中学习。
美国银行不是唯一一家测试该系统的银行,但它是唯一一家披露潜在数据泄露的银行,这可能会或可能不会暗示其他贷方使用了虚假或无效信息。无论如何,银行的数据安全专家都应该考虑处理客户的个人和业务详细信息时所采用的策略。不过,他们并不是唯一应该从这一切中得出结论的人。
显而易见,SBA没有足够的时间来正确测试Paycheck Protection Program系统,但是在美国银行发现这一故障之前大约一个月,该机构经历了另一起无关事件,这表明数据安全性可能应该提高SBA的优先级列表。在那种情况下,一个漏洞可能使8,000名申请人的私人和商业信息暴露于经济伤害灾难贷款计划中。
冠状病毒大流行不能成为人们数据处理不当的借口。希望每个负责人都能在为时已晚之前理解这一点。