差的做法暴露了2400万财务记录
Furman评论敦促对Tech Giants的更大竞争
凭借iOS 11.3,Apple外观团结患者及其医疗保健数据
Win10版本1809,取两个:建造的指南和他们打破了什么
愿Windows和Office补丁现在相对稳定,但Win7 NIC问题仍然存在
7-zip中的多种漏洞。立即更新它!
Fireeye Gears Up Email Security用于新兴威胁
自由职业者对演出经济持有巨大态度
屏住呼吸,避免蛇油,并获得Windows更新
微软Azure在公共云中获得了AWS
在7月和8月的Windows / Office补丁中陷入困境
澳大利亚和新西兰的IT专业人士的高薪,但仍然存在多样性问题
Subopostmasters通过首席执行官荣誉起诉邮局的邮局令人震惊的失败
伦敦网络安全创新中心问题打开邀请
微软提高了澳大利亚企业客户的云价格
红帽眼睛在新兴东盟市场的Unix-to-Linux迁移
Google的最新测试版在应该是一个关键的Android P功能
Apple在企业中的HomePod股票空间如何?
政府讲述了网络安全差的名称和羞耻公司
欧盟法院顾问说,被遗忘的权利不是全球性的
彻底改变患者预订海湾
Android现在fido2认证
Spotify,只需用技术公司加入武力,帮助企业管理云成本更好
英国网络安全机构调查DNS劫持
互联网关于iphone x的说法
简单的方法来绕过iOS 12的iOS 12上的iOS 12上的Passcode Lock屏幕
IoT可以成为区块链的杀手应用程序
部长敦促英国公司为禁止交易做准备
自动驾驶汽车获取试验安全和透明度的最新指南
荷兰开发人员提供通信的企业核安全选项
Zoho一个在其一年标记中增加了AI和分析升级
Win10 1703和1607的补丁,以及Win7 IP错误修复的脑扭曲更新
不到四分之一的AI专业人士是女性
塔尔斯销售ncipher entrust datacard
这是两个高管调查透露关于区间的采用
Android和反托拉斯:欧盟的谷歌案例解释了
较小的更新将“最后一个重要障碍”删除到商业Windows 10采用,专家
Win10 1709最令人厌恶的“功能”:程序从死者回来
WWDC 2018预览:我们能期待什么?
如果您想要IoT安全,机构警告,请不要急于部署5g
Cyber​​对英国董事会的意识发现想要
欧盟在网络安全立法与合作中收集动力
桑坦德最新银行挖掘谷歌体验
Lloyds Bank将数百名客户迁移到Google-Inspired Fintech
谷歌移动到最终网站安装Chrome Extensions
Opentext企业世界欧洲:首席执行官Barrenechea Stakes为EIM索赔作为竞争优势
哪些Android手机定期提供安全更新?这是一个提示
OpenReach探索铜网络关机选项
Apple将隐私主题推动在Safari for iOS 12,'Mojave'
Win10更新促进服务加入Update Assistant V2以确保您修补
您的位置:首页 >电子新闻 >

差的做法暴露了2400万财务记录

2021-08-23 18:43:54 [来源]:

安全研究员Bob Dianchenko发现了MoreThan 2400万财务和银行记录,无需任何密码保护。

这些数据包括银行和财务文件,与大约10年来的数万个贷款和抵押贷款,其中一些美国最大的银行,包括富国银行和大家群岛。

其他数据来自Citifinancial,Citigroup,汇丰人寿保险和一些美国联邦部门的废弃贷款金融部门。

记录存储在一个Elasticsearch集群中,该集群包含51GB似乎是OCR(光学字符识别)的信用和抵押贷款报告,DiaChenko在博客文章中表示。

他说:“这些文件包含高度敏感的数据,例如社会安全号码,名称,电话,地址,信用历史记录和其他细节,通常是抵押或信用报告的一部分。”

“这些信息将是网络罪犯的金矿,他们将拥有他们需要窃取身份的一切,文件错误纳税申报表,获取贷款或信用卡。”

最终追溯到德克萨斯州德克萨斯州堡垒价值的数据和分析公司的数据和分析公司,涉及TechCrunch,该公司首先报道了Dianchenko的调查结果。

根据父母公司Rocktop Partners,在学习“服务器配置错误”时,提升关闭了服务器,“可能导致了一些与抵押贷款相关文件”。本公司还表示,由第三方取证专家进行调查,并与执法调查员和技术合作伙伴联系。

Ilia Kolochenko,Web Security Company高科技桥梁首席执行官,表示未受保护的云存储和在线公开的无密码数据库是普遍的。

“大型组织在控制和库存下维护他们的数据的宠物,”他说。“众多的供应商和合作伙伴可以迫切需要他们的数据以获得各种合法的商业目的,但不能保持适当的内部安全控制。”

Kolochenko说,第三方风险管理不是银子弹。他说:“相当经常,获得数据的访问是时间敏感的,许多公司倾向于闭上眼睛对第三方安全机制的一些不完美之处,”他说。

“互联网的大规模扫描可能会产生数百个,如果没有批判性,敏感和特权数据的数千个类似的数据库,则在某处托管没有任何保护。”

从合法的角度来看,Kolochenko表示,这些公司的疏忽导致数据曝光可能会对相当大的经济处罚和/或甚至阶级行动诉讼负责。

“访问和处理数据的安全研究人员也应该小心,因为在某些情况下,他们可能会破坏刑法,并将自己暴露在其他法律后果中,”他说。斗中科科很高兴Bridge提供一个名为ImmuniWeb Discovery的免费服务,以帮助组织识别所有外部应用程序,数据库和未受保护的云存储。

IAM Emaggelist的Todd Peterson在安全公司的一个身份中表示,诸如提升的公司有责任以安全的方式处理和管理高度有价值的财务数据。

“离开服务器暴露,没有密码规范,在他们的企业系统中发出严重的漏洞,可以引导任何数量的身份盗窃和欺诈行为,”他说。

为了防止这种数据曝光再次发生,Peterson表示,组织应该遵循这些核心原则:

使用多因素身份验证,尤其是超级用户帐户和特权帐户。教育人员在网络安全上保护数据资产。采取措施保护最有价值的资产,例如实施特权访问管理。遵循良好的治理做法,以确保合适的人有权获得正确的东西。

Comforte企业数据保护负责人Jonathan Deveaux表示,如果银行在贷款申请时确保个人数据,但随后将数据移到另一家未受保护的公司,那么这是一个主要的安全差距。

“即使数据在给予公司以进行分析目的时,下一步是为了确保数据在分析它的同时保护数据,”Deveaux说。

他指出,报告中暴露的数据元素之一是社会安全号码,但实际上没有有用的理由为什么分析需要这些数字,这意味着它们可以被屏蔽或令刻标记,而其他数据用于分析目的。

“银行和其他金融公司公司需要真正了解其他各方如何使用他们提供的个人数据,”Deveaux说。“也许是时候他们停止与不做更多以确保敏感数据的公司合作。”

蒂姆埃尔林议长蒂姆Erlin表示,这一案子强调了组织能够检测和修复错误配置的重要性。

“这是一个高度敏感的数据,暴露于愿意寻找它的人,”他说。“将数据和应用程序移动到云端并不神奇地消除其安全职责的组织。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。