舊金山雇員退休系統(tǒng)泄露了會員數據

舊金山雇員退休系統(tǒng)遭遇數據泄露，約7.4萬名員工的數據可能被盜。

數據泄漏是由第三方網站開發(fā)公司10up Inc.提供的。10up在2月24日被黑客攻擊的測試服務器上存放了一個自2018年8月以來擁有74000名會員的數據庫。這一漏洞直到3月21日才被發(fā)現。

可能被盜的數據包括全名、家庭住址、出生日期、受益人詳細信息，包括姓名、出生日期和親屬關系，以及SFERS的網站用戶名和安全問題和答案。對于已退休的SREFS成員，信息還包括IRS表格和銀行路由號碼。

來自SFERS的泄露通知稱，10Up沒有證據表明該成員的詳細信息被從服務器上刪除，但同樣不能確認該數據沒有被查看或復制。

SFERS重新設置了所有用戶的密碼，并向會員提供一年免費的身份保護，使其免受Experian IdentityWorks網站的攻擊，這已成為應對數據泄露的教科書式做法。

“科幻雇員的退休制度違反是一個很好的提醒,即使應用程序在測試系統(tǒng)需要安全的威脅,他們是否內部(壞的演員組織及其合作伙伴)或外部(來自黑客試圖利用漏洞),“Jayant舒克拉,首席技術以為web應用程序安全性的創(chuàng)始人之一形式K2網絡安全公司,告訴SiliconANGLE。漏洞、錯誤配置的服務器和錯誤使用的憑證是導致系統(tǒng)被攻破的最主要原因。

數據安全公司comforte AG的產品經理特雷弗·摩根(Trevor Morgan)指出，黑客總能找到穿過或繞過安全防線的方法。

摩根說:“然而，通過采取超出普通加密和周際防御的有效措施來保護數據——比如標記化措施——這些入侵的有害影響可以消除。”這是因為，他補充道，“標記化用無害的、有代表性的令牌取代了敏感數據，所以無論誰獲得了數據，無論數據傳輸到哪里，它都阻止了任何內在意義的傳遞。”敏感信息仍然隱藏著，這些數據對于那些想要竊取、出售或利用它們危害他人的人來說變得毫無價值?！?/p>