Компьютерная экспертиза заявила и выявила, что упущение безопасности привело к другому драматическому нарушению базы данных Elasticsearch который оставил более 24 млн финансовых и банковские документов , открытых в Интернете, причем большая части информации , связанной с некоторыми из крупнейших банков.
Комментируют новости следующие специалисты по безопасности:
Джонатан Дево, руководитель отдела защиты корпоративных данных в comforte AG:
«Подали заявку на кредит в последние 10 лет? Тогда ваши личные данные могут быть раскрыты.
Уникальность этой утечки в кибербезопасности заключается в том, что данные могли быть получены в крупных банках (например, Citi, HSBC и Wells), но они не предоставили данные. Компания, которая получает данные для аналитических целей (например, Big Data и ML), скорее всего, является источником. Сообщалось, что их серверы были неправильно настроены, и не было никаких требований к паролю для доступа к данным.
Если банки принимают персональные данные при получении заявки на кредит, но передают данные другой компании * без защиты *, то это серьезный пробел в безопасности. И даже если данные защищены при передаче компании в аналитических целях, следующим шагом будет обеспечение защиты данных во время их анализа.
Одним из элементов данных, представленных в отчете, были номера социального страхования. Там действительно нет никакой полезной причины, почему SSN необходим для анализа. SSN могли быть замаскированы или маркированы, в то время как другие данные использовались для аналитических целей.
Банки и другие компании Fintech должны по-настоящему понять, как другие стороны будут использовать личные данные, которые они им предоставляют. И, возможно, пришло время перестать работать с компаниями, которые не делают больше для защиты конфиденциальных данных ».
Тим Эрлин, вице-президент Tripwire:
«Это была не изощренная атака хорошо финансируемого противника из национального государства. Это была неверная конфигурация, ошибка. Организации должны иметь возможность обнаруживать и устранять неправильные конфигурации, точка. Это очень конфиденциальные данные, которые были предоставлены любому желающему. Перенос данных и приложений в облако не освобождает организацию от ее обязанностей по обеспечению безопасности ».
