美國銀行在SBA的薪資保護計劃中發現數據洩露
COVID-19大流行給我們帶來了許多挑戰,儘管我們都非常確定自己會克服這些挑戰,但是其中一些挑戰帶來了許多意外的困難。例如,今天的故事將向您展示我們用來應對危機的解決方案通常是著急設計的,有時甚至是有缺陷的。它還應該向您顯示所有這些後果的嚴重程度。
為了幫助小型企業度過大流行,美國小型企業管理局製定了“ 薪資保護計劃” 。參與該計劃的企業可以得到一筆貸款,如果該筆款項在鎖定期間直接用於保持僱用的勞動力,則該筆貸款將被完全免除。
這筆錢應該由參與該計劃的銀行(如美國銀行(BofA))借出,它們有責任處理申請人的信息並將其移交給代理商。 SBA迅速建立了一個全新的在線平台來促進這一工作。4月22日,美國銀行通過提交一些申請對其進行了測試。由於尚不清楚的原因,儘管這應該是一個測試,但該銀行正在使用充滿真實數據的真實應用程序。果然,其安全團隊在某一時刻注意到,登錄到該系統的其他人也可以訪問所提交的信息。
SBA測試系統公開了申請人的信息
上週,美國銀行向加利福尼亞州檢察長提交了數據洩露通知 ,以披露該事件。詳細信息很少,但據信中所述,在提交4月22日的申請時,美國銀行的IT專業人員注意到SBA系統的缺陷,該缺陷使其他貸方可以訪問這些文件。
令人擔憂的是,文件中包含了很多有關申請貸款的企業及其所有者的信息。可能暴露的數據包括:
- 名字
- 電郵
- 住家地址
- 公司地址
- 電話號碼
- 稅務識別號
- 社會安全號碼
聽起來比現在更可怕
美國銀行一發現潛在的風險,便通知SBA,並從易受攻擊的系統中刪除了數據。違規通知指出,沒有證據表明有人未經授權訪問了數據,一位發言人告訴《夏洛特商業雜誌 》,受影響的客戶數量“很小”。但是,由於該違規行為涉及一些極其敏感的信息,因此該銀行向潛在涉案客戶提供了價值兩年的身份盜竊保護。該事件應該與客戶的“薪資保護計劃”應用程序無關,總而言之,這看起來像世界上最嚴重的洩漏。但是,洩漏就是洩漏,我們必須從中學習。
美國銀行不是唯一一家測試該系統的銀行,但它是唯一一家披露潛在數據洩露的銀行,這可能會或可能不會暗示其他貸方使用了虛假或無效信息。無論如何,銀行的數據安全專家都應該考慮處理客戶的個人和業務詳細信息時所採用的策略。不過,他們並不是唯一應該從這一切中得出結論的人。
顯而易見,SBA沒有足夠的時間來正確測試Paycheck Protection Program系統,但是在美國銀行發現這一故障之前大約一個月,該機構經歷了另一起無關事件,這表明數據安全性可能應該提高SBA的優先級列表。在那種情況下,一個漏洞可能使8,000名申請人的私人和商業信息暴露於經濟傷害災難貸款計劃中。
冠狀病毒大流行不能成為人們數據處理不當的藉口。希望每個負責人都能在為時已晚之前理解這一點。