Lecciones aprendidas de la violación de datos de la Administración de Pequeñas Empresas


El evento impactó las cuentas de casi 8,000 personas. Aquí hay consejos sobre cómo protegerse y proteger a su organización de las infracciones del sitio world-wide-web.

Una violación de datos es un evento que puede afectar a cualquier sitio website, especialmente en el peor momento posible. Una de las últimas organizaciones afectadas por una violación es la Administración de Pequeñas Empresas (SBA) a través de un incidente en el que los datos personales de 7.913 usuarios se compartieron por error con otras personas. Aunque los detalles sobre la violación del sitio web de la SBA son mínimos, el incidente en sí mismo sirve como una señal de advertencia y una llamada de atención para muchas organizaciones sobre cómo proteger sus datos de usuario.

Esta semana, la SBA anunció que los datos personales de casi 8,000 personas que solicitaron préstamos habían sido vistos por otros solicitantes de préstamos en su sitio web el 25 de marzo. Las personas afectadas por la violación habían estado solicitando dinero a través del Programa de préstamos por desastre para daños económicos (EIDL), que está diseñado para proporcionar adelantos de préstamos de hasta $ 10,000 para empresas que pierden ingresos debido al impacto de COVID-19. En una declaración compartida con TechRepublic, la SBA reconoció que la información particular estaba expuesta.

«La información de identificación private de un número limitado de solicitantes de préstamos por desastre por lesiones económicas estuvo potencialmente expuesta a otros solicitantes en el sitio de solicitud de préstamos de la SBA», dijo la SBA. «Inmediatamente deshabilitamos la parte afectada del sitio web, abordamos el problema y relanzamos el portal de la aplicación».

En respuesta, la SBA notificó a las personas potencialmente afectadas y les ofreció un año free of charge de monitoreo de crédito.

La violación en sí ocurrió en un mal momento: la agencia no ha podido aceptar nuevas solicitudes de asistencia relacionada con EIDL COVID-19 porque Washington aún no ha aprobado y asignado nuevos fondos para préstamos. El sitio net de EIDL en sí también ha resultado problemático. El sitio estuvo desconectado durante varias horas el 16 de marzo debido a mantenimiento, durante el cual la gente no pudo solicitar préstamos, de acuerdo con The Involved Press. El 29 de marzo, la SBA cambió su proceso de solicitud de préstamos, obligando a las empresas a tener que volver a presentar una solicitud, un giro que muchos no conocieron hasta días o semanas después.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

En una carta enviada a los solicitantes de préstamos afectados que fue obtenida por AP, la SBA dijo que no encontró evidencia de que la información expuesta haya sido mal utilizada. Los datos atrapados en la violación incluyeron nombres, números de Seguro Social, fechas de nacimiento, información financiera, direcciones de correo electrónico y números de teléfono.

La exposición de los datos del solicitante de préstamos de la SBA fue reportado por CBS Information el 4 de abril. Un solicitante afectado le dijo a CBS que había ido al sitio net de la SBA y encontró la fecha de nacimiento, el número de Seguro Social, el correo electrónico, los números de teléfono y la dirección comercial de otra persona en la página de registro del préstamo donde se suponía que debía ingresar sus propios datos. Diez minutos después de reemplazar los datos en pantalla con los suyos, el solicitante recibió una llamada telefónica de una empresa en Delaware diciendo que ahora tenía todos sus datos.

Sin más información de la SBA, se desconoce cómo o por qué ocurrió la violación, o quién fue responsable de la fuga de datos. Pero ciertas agencias gubernamentales han estado bajo una mayor presión últimamente debido al coronavirus, obligándolos a tratar de aumentar sus capacidades y cumplir con plazos específicos. Esa situación puede conducir fácilmente a errores.

«Como han demostrado otros sitios world wide web de alto perfil, de construcción rápida, como Health care.gov, no probar suficientemente la seguridad de todos los componentes en horarios agresivos puede tener un amplio impacto», dijo Jack Mannino, CEO del proveedor de seguridad. nVisium, dijo. «La pandemia de coronavirus ha llevado a muchos servicios públicos a escalar sus sistemas y construir nuevas funcionalidades fuera de sus prácticas y métodos normales. Es importante comprender cómo estos nuevos servicios afectan los componentes existentes y exponen a sus usuarios a nuevas amenazas a medida que construyen de forma segura desarrollo en su ingeniería de sistemas «.

¿Qué pueden hacer las empresas y los propietarios de sitios world wide web para protegerse mejor contra las violaciones de datos antes de que ocurran?

«Todas las empresas deben prepararse para el eventual anuncio de que han sido víctimas de una violación de datos», dijo Heather Paunet, vicepresidenta de gestión de productos en el proveedor de seguridad SMB. Desenredar, dijo. «Sin embargo, hay pasos que pueden tomar para prepararse, minimizar y protegerse.

«Realizar auditorías de crimson consistentes es elementary», dijo Paunet. «Comprender qué áreas de la pink pueden ser vulnerables, abordar aquellas con la solución de seguridad adecuada o parche de application, y continuar verificando y volviendo a verificar puede minimizar cómo un cibercriminal puede obtener acceso a la crimson. Esta preparación también incluye capacitación de los empleados, notificaciones constantes sobre actualizaciones de contraseña y segmentación de la red por acceso apropiado «.

A pesar de la preparación y las defensas necesarias, un sitio net aún puede ser víctima de una violación de datos, ya sea por un pirata informático o por fuera debido al descuido de los empleados. ¿Qué deben hacer las organizaciones después de que haya ocurrido una violación?

«Los propietarios de sitios world-wide-web, especialmente aquellos con un componente de comercio electrónico, deben eliminar la capacidad de procesamiento de pagos en su sitio web hasta que comprendan cuán lejos y en qué profundidad esta violación de datos entra en su sistema», dijo Paunet. «Si esto creara dificultades financieras, los pedidos pueden completarse por teléfono para respaldar los ingresos de la empresa. Los propietarios de sitios world-wide-web deben tomar las mismas precauciones que una empresa física: cambiar las contraseñas, actualizar las credenciales, notificar a las instituciones financieras y luego auditar la violación. para comprender completamente cómo se vieron afectados los clientes «.

Paunet también sugirió que las organizaciones revisen el código completo de su sitio internet, buscando cualquier otro código sospechoso que pueda causar más problemas en el futuro. Las auditorías y alertas también deben ser parte de la respuesta.

«Las empresas deben auditar su pink y sus archivos, creando un informe detallado de exactamente qué información ha sido comprometida y comenzar el proceso de alertar a cualquier cliente o personalized que pueda ser víctima de la violación», dijo Paunet. «Una comunicación clara con los afectados, describiendo los pasos que la empresa ha tomado para detener cualquier fuga de información adicional y asegurando la pink será clave para asegurar a los afectados que la empresa está haciendo todo lo posible para protegerlos en el futuro. Este tipo de tranquilidad y transparencia puede salvar a las empresas cuyos clientes pueden dudar en volver «.

Las organizaciones también deben estar atentas a los ataques utilizando los datos comprometidos.

«Las organizaciones afectadas por una violación de datos de terceros deben estar en alerta por ataques dirigidos e ingeniería social destinados a explotar el factor humano», dijo Mannino. «Con acceso a la información financiera y la identidad de los empleados, este es un buen punto de partida para las estafas y la ingeniería social centradas en la explotación de las personas».

Los usuarios del sitio internet cuyas cuentas han sido atrapadas en una violación también deben tomar ciertas medidas para protegerse.

«Descubrir que su información personalized o comercial se ha visto comprometida en una violación de datos puede ser estresante, frustrante y complejo», dijo Paunet. «El primer paso que cualquiera debe tomar es hacer una limpieza de contraseña. Todas las cuentas que están adjuntas a información de pago confidencial o datos comerciales deben tener su contraseña y credenciales actualizadas de inmediato (si el acceso aún está disponible). Esto mitigará algunos de los posibles daños más adelante. Luego, cualquier persona o empresa debe ponerse en contacto con las instituciones financieras, alertándoles sobre el incumplimiento y elaborando un strategy para el monitoreo y aprobación de cualquier compra de cuentas clave «.

Ver también

Concepto de violación de datos

wildpixel, Getty Photos / iStockphoto



Enlace a la noticia unique