我們又來了:Experian負責影響2400萬的數據洩露
事實證明,為了獲得未經授權的大量信息訪問權,您不必總是破壞組織的安全性。跨國信用報告局Experian證明,有時候,您需要做的只是禮貌地問。
上週,益百利(Experian)的南非分支機構承認 ,數據洩露已導致一些消費者信息洩露。很快可以指出,該事件沒有涉及任何黑客攻擊。取而代之的是,一個騙子冒充了Experian的一位客戶,而徵信局的一名僱員則樂意洩露數據。
如果我們必須按照造成的尷尬來對網絡安全事件進行排名,那麼這一事件將排在首位。您可能希望受害者舉起手來,承認自己犯了一個愚蠢的錯誤,並承諾採取措施以避免將來發生類似事件。不過,Experian似乎還有其他處理數據洩露的想法。
益百利試圖淡化這個問題
Experian的聲明沒有談論為防止此類數據洩露而實施的更改,而是強調了一個事實,即沒有公開任何信用或財務信息。根據徵信局的說法,移交的數據通常是在“日常業務”中提供的,騙子意圖將其用於組織營銷活動。該詐騙者已被識別,他們的“硬件”已被扣押,洩露的數據已被刪除。已通知所有相關的監管機構和執法機構,儘管調查仍在進行中,但沒有證據表明暴露的數據被濫用。
最終,徵信局敦促消費者在www.mycreditcheck.co.za上免費查看其信用報告,Experian Africa首席執行官Ferdie Pieterse對他所說的“不便”表示歉意。
不僅帶來不便
益百利對於數據安全問題並不陌生。在必須成為2015年最大的網絡安全事件之一的情況下,黑客入侵了信用局美國分行的服務器,並竊取了多達1500萬人的個人詳細信息。 2013年,其子公司之一被捲入了ID盜竊案調查,引起了很大爭議。這兩個事件給我們留下了很多教訓,但是從Experian處理最近的數據洩露的方式來看,它沒有從中汲取任何教訓。
即使您決定忽略Experian允許其一名僱員被騙提供大量個人信息這一事實,您也必須查看該局披露該問題的方式,並且您會發現其中有很多問題。
該聲明確實說,例如,洩漏的信息是公開可用的,或者也定期與其他組織共享,但是它沒有試圖透露數據的確切性質。人們不知道自己的哪些個人信息被洩露,也無法知道需要警惕哪種攻擊。 Experian也沒有說事件發生的時間。
更糟糕的是,儘管它向受影響的各方道歉,但卻忘了提到那裡有多少人。值得慶幸的是,參與調查的南非銀行風險中心 (SABRIC)對細節更加慷慨。據稱,欺詐者獲得了2400萬南非人和不到80萬個商業實體的信息 。
SABRIC說,它目前正在與銀行和Experian合作,以確定受影響的個人。同時,建議每個人都對通過電子郵件,短信或電話提出的任何個人信息請求保持懷疑。
您可能想知道為什麼Experian無法在其聲明中披露所有這些信息。不幸的是,您的猜測與我們的一樣。