Отсутствие защиты конфиденциальной данных клиентов обошлось в $ 175 000

06.05.2009

Вернуться к списку новостей Агентство по регулированию действий финансовых институтов (АРДФИ) объявило о том, что на Финансовую Корпорацию Centaurus (ЦФК), округ Оранж, Калифорния, был наложен штраф в размере $175,000 за отсутствие обеспечения надлежащей безопасности конфиденциальной информации клиентов. Корпорацию так же обязали уведомить клиентов и их брокеров, которые пострадали от этого и предложить им бесплатный кредитный мониторинг на год.

АРДФИ было обнаружено, что в период с апреля 2006 по июль 2007 ЦФК не была в состоянии обеспечить надлежащую защиту конфиденциальных данных клиентов. На сервере компании было установлено не надлежащим образом настроенное программное обеспечение сетевой защиты (файрволл), а так же логин и пароль для факсимильного сервера позволяли несанкционированно проникнуть в систему к сохраненным изображениям факсимильных сообщений, где содержалась конфиденциальная информация клиентов, такая как номера социального страхования, номера счетов, даты рождения и другая секретная информация клиента. "Защита" компании так же не обеспечивала защиту от фишинга. Когда ЦФК обнаружила фишинговые атаки, было проведено неадекватное ситуации расследование и были разосланы уведомления, с некорректной информацией 1400 клиентам, пострадавшим от мошенничества.
15 июля 2007 года сервер ЦФК был подвержен фишинговой атаке с третьей стороны. Фишинговое мошенничество используется для извлечения персональной информации пользователей, такой как логины, пароли, информации по банковским и кредитным счетам. Файл, имитирующий популярный интернет аукцион был передан на сервер ЦФК, и в течение трех дней было зарегистрировано 895 несанкционированных входа в систему с 459 IP адресов, большинство из них были произведены получателями массовых рассылок, которая была сделана мошенниками.

После того как инцидент был раскрыт, ЦФК отправила уведомление с некорректной информацией примерно 1400 клиентам и их брокерам, сообщив, что несанкционированный доступ был разовый и информация на сервере не была доступна. В письме не сообщалось о том, что было массовое вторжение и что это произошло из-за не отвечающего требованиям безопасности файрволу и доступным логину "Administrator" и паролю "password" к серверу. Неадекватным ситуации поведением ЦФК были нарушены федеральные правила установленные S-P и АРДФИ.
Согласно условиям решения, "Centaurus" обязуется обеспечить клиентов и их брокеров надлежащей информацией, которым ранее была отправлена неверная информация, и предложить им бесплатный кредитный мониторинг. Помимо этого, в ЦФК будет проведена сертификация в соответствии с требованиями АРДФИ.