Les données des membres sont soumises à une violation du système de retraite des employés de San Francisco – Les meilleures astuces pour son serveur

Le système de retraite des employés de San Francisco a subi une violation de données, des données appartenant à quelque 74 000 membres ayant probablement été volées.

La violation de données est survenue via la société de développement Web tierce 10up Inc., qui héberge le site Web SFERS. 10up a placé une base de données de 74000 membres en août 2018 sur un serveur de test piraté le 24 février. La brèche n'a été découverte que le 21 mars.

Les données qui pourraient être volées comprennent les noms complets, l'adresse du domicile, la date de naissance, les informations sur le destinataire, y compris les noms, la date de naissance et la relation, ainsi que SFERS et nom d'utilisateur et questions et réponses de sécurité. Pour les membres retraités du SREFS, les informations incluaient également des formulaires IRS et des numéros de banque.

La notification de violation SFERS indique que 10Up n'a aucune preuve que les détails du membre ont été supprimés du serveur, mais ne peut pas non plus confirmer que les données n'ont pas été vues ou copiées.

Dans ce qui est devenu une réponse classique aux violations de données, SFERS a réinitialisé tous les mots de passe des utilisateurs et offre aux membres une année gratuite de protection contre le vol d'identité d'Experian IdentityWorks.

"La violation du système de retraite des employés de SF est un bon rappel que même les applications sur les systèmes de test doivent être protégées contre les menaces, qu'elles soient internes (mauvais acteurs de l'organisation et de ses partenaires) ou externes (provenant de pirates essayant d'exploiter les vulnérabilités)", Jayant Shukla, directeur de la technologie et co-fondateur de Web Application Security Schedule K2 Cyber ​​Security Inc., a déclaré à SiliconANGLE "Les vulnérabilités de sécurité, les serveurs mal configurés et les abus d'informations d'identification sont parmi les principales raisons pour lesquelles les systèmes sont en panne."

Trevor Morgan, chef de produit chez le spécialiste de la sécurité des données comforte AG, a noté que les pirates trouveront toujours un moyen de contourner ou de contourner la sécurité du périmètre.

En prenant des mesures efficaces pour protéger les données d'une manière qui va au-delà du chiffrement normal et de la défense du périmètre – comme la tokenisation – l'impact nocif de ces violations peut être éliminé, dit Morgan. En effet, "a-t-il ajouté," la tokenisation remplace les données sensibles par des symboles inoffensifs et représentatifs, donc peu importe qui les obtient et où qu'elles voyagent, elle empêche la transmission de toute signification inhérente. Les informations sensibles restent cachées, et les données deviennent sans valeur pour ceux qui veulent les voler, les vendre ou les utiliser pour compromettre les autres. "

Photo: SFERS