Sicherheitsfirma sagt, Equifax machte es viel zu einfach, auf Gehalts- und Jobdaten zuzugreifen - Rechnen - 2019

Anonim

Einer der bekannteren Datenverstöße im Jahr 2017 war der Equifax-Hack, der die privaten Informationen von etwa 145 Millionen Amerikanern offenlegte. Die Verstöße gegen Equifax sind besonders problematisch, da das Unternehmen als zentrale Clearingstelle für einige der sensibelsten Informationen gilt, die online gespeichert werden. Nun scheint es, dass die laxe Sicherheit des Unternehmens über die grundlegende Sicherheit hinausgeht und möglicherweise viel zu einfach auf Gehalts- und Beschäftigungsinformationen zugegriffen hat.

Die Nachricht kommt über KrebsSecurity, die die Geschichte am 8. Oktober 2017 brach. Offenbar hat Equifax TALX, ein Dienst, der für die automatische Verifizierung von Einkommens- und Beschäftigungsverlaufsdaten verwendet wird, wenn jemand einen Kredit beantragt, Authentifizierungsverfahren verwendet viel zu leicht zu umgehen. Kurz gesagt, der Zugriff auf die Daten ist für jeden, der Zugang zu Informationen hat - wie Sozialversicherungsnummern und Geburtsdaten - für viele Menschen dank früherer Datenschutzverletzungen viel zu einfach.

Das TALX-System sollte nur für zertifizierte Unternehmen wie Banken und Arbeitgeber zugänglich sein. Wie KrebsSecurity festgestellt hat, können jedoch viele Konten nur durch Eingabe eines Arbeitgebernamens und einer vollständigen oder teilweisen Sozialversicherungsnummer aufgerufen werden. Dann ist die angeforderte PIN in den meisten Fällen nur ein Geburtsdatum in leicht erratenen Formaten. Nach der Validierung sind einige sehr nützliche Informationen verfügbar, einschließlich Gehalts- und Beschäftigungsverlauf, die ein Jahrzehnt oder länger zurückliegen.

Selbst die erweiterte Authentifizierung des Systems kann umgangen werden, wenn der TALX-Kunde nicht alle relevanten Informationen vollständig ausgefüllt hat. In vielen Fällen sind detaillierte Anweisungen zum Ausfüllen der Authentifizierungsformulare online verfügbar. Das macht es für schändliche Parteien viel zu einfach zu erraten, wie man sich erfolgreich authentifiziert und Zugang zum System erhält.

Wenn Sie befürchten, dass Ihre Informationen für Unbefugte zugänglich gemacht werden, bietet KrebsSecurity eine Möglichkeit, Ihre Daten zu schützen:

"Glücklicherweise können Sie die Wahrscheinlichkeit verringern, dass ein Bekannter, Mitarbeiter, Stalker oder jemand anderes dies tun kann, indem Sie Ihren eigenen Account anfordern, die PIN ändern und ein halbes Dutzend Sicherheitsfragen und -antworten auswählen. Wie immer ist es am besten, diese Fragen nicht wahrheitsgemäß zu beantworten, sondern Antworten einzugeben, die nur Ihnen bekannt sind und die nicht über soziale Netzwerke oder andere öffentliche Datenquellen gefunden werden können. "

Wie KrebsSecurity in einem Update vermerkt, hat Equifax das TALX-Portal für geplante Wartungsarbeiten heruntergefahren. Es ist unbekannt, ob das rein zufällig ist oder ob es sich um die Geschichte handelt, die gestern veröffentlicht wurde. Einige Kommentatoren zu der ursprünglichen Geschichte deuteten außerdem an, dass zusätzliche Schritte hinzugefügt werden, die helfen sollten, obwohl die Daten immer noch zu leicht für jeden zugänglich sind, der bereit ist, die notwendigen Recherchen durchzuführen.