旧金山雇员退休系统遭遇数据泄露,约7.4万名员工的数据可能被盗。
数据泄漏是由第三方网站开发公司10up Inc.提供的。10up在2月24日被黑客攻击的测试服务器上存放了一个自2018年8月以来拥有74000名会员的数据库。这一漏洞直到3月21日才被发现。
可能被盗的数据包括全名、家庭住址、出生日期、受益人详细信息,包括姓名、出生日期和亲属关系,以及SFERS的网站用户名和安全问题和答案。对于已退休的SREFS成员,信息还包括IRS表格和银行路由号码。
来自SFERS的泄露通知称,10Up没有证据表明该成员的详细信息被从服务器上删除,但同样不能确认该数据没有被查看或复制。
SFERS重新设置了所有用户的密码,并向会员提供一年免费的身份保护,使其免受Experian IdentityWorks网站的攻击,这已成为应对数据泄露的教科书式做法。
“科幻雇员的退休制度违反是一个很好的提醒,即使应用程序在测试系统需要安全的威胁,他们是否内部(坏的演员组织及其合作伙伴)或外部(来自黑客试图利用漏洞),“Jayant舒克拉,首席技术以为web应用程序安全性的创始人之一形式K2网络安全公司,告诉SiliconANGLE。漏洞、错误配置的服务器和错误使用的凭证是导致系统被攻破的较主要原因。
数据安全公司comforte AG的产品经理特雷弗·摩根(Trevor Morgan)指出,黑客总能找到穿过或绕过安全防线的方法。
摩根说:“然而,通过采取超出普通加密和周际防御的有效措施来保护数据——比如标记化措施——这些入侵的有害影响可以消除。”这是因为,他补充道,“标记化用无害的、有代表性的令牌取代了敏感数据,所以无论谁获得了数据,无论数据传输到哪里,它都阻止了任何内在意义的传递。”敏感信息仍然隐藏着,这些数据对于那些想要窃取、出售或利用它们危害他人的人来说变得毫无价值。”