1.4 millones de solicitantes de desempleo en Washington afectados por incumplimiento del auditor estatal
El lunes, la Oficina del Auditor del Estado de Washington divulgado que había sufrido una violación de datos que expuso la información personal de unos 1,4 millones de solicitantes de empleo.
Parece que los registros quedaron expuestos en diciembre, luego de una violación de datos de Accellion, un proveedor de software utilizado por la Oficina del Auditor del Estado para la transferencia de archivos informáticos de gran tamaño. La Oficina del Auditor del Estado de Washington solo se enteró del efecto de la violación en sus archivos el 25 de enero.
Los datos expuestos incluían nombres, números de seguro social, licencias de conducir o números de identificación estatal, números de cuentas bancarias, números de ruta y más.
Además, la violación expuso archivos de los gobiernos locales de Washington y otras agencias estatales.
Hablamos con varios expertos en ciberseguridad para conocer su opinión.
Tim Mackey, estratega principal de seguridad en el Sinopsis CyRC (Centro de investigación de ciberseguridad)
“Los compromisos vienen en muchas formas donde el atacante define las reglas de su ataque. En este caso, la naturaleza de los datos es particularmente preocupante, ya que podrían usarse en futuros delitos. Si bien una oferta de informe crediticio gratuito podría ayudar a aliviar algunas de las consecuencias del ataque, el hecho de que la información transferida contenga información bancaria además de detalles laborales y números de seguridad social podría permitir un ataque de phishing altamente dirigido. Los residentes de Washington deben ser particularmente cautelosos con cualquier persona que se comunique con ellos de manera directa y proactiva sobre un reclamo de desempleo por correo electrónico o por teléfono. Dada la naturaleza de los datos robados, es mucho más fácil engañar a alguien para que piense que tal alcance proactivo es legítimo.
“Desde una perspectiva de ciberseguridad, este ataque destaca que la seguridad adecuada no es simplemente una cuestión de proteger servidores con firewalls y escritorios con anti-malware. Los atacantes encontrarán un enlace débil y si los datos transferidos están en un formato consumible, como en texto sin formato, entonces el daño de un compromiso es mucho mayor. Este es un ejemplo perfecto de dónde juegan un papel los modelos de amenazas. Un análisis forense buscará determinar preguntas clave como quién verificó si la configuración del servicio de transferencia de archivos por Accellion fue parcheada y quién determinó el formato de archivo utilizado para la transferencia. Los modelos de amenazas buscan realizar un análisis forense antes de que ocurra el incidente para evitar la necesidad de una respuesta al incidente «.
“Accellion es una empresa de ciberseguridad de gran confianza utilizada por varias grandes organizaciones del sector público y privado. Aunque Accellion afirma que la oficina del auditor usó un producto heredado y que alentó una actualización, el informe no indica si ese producto heredado había alcanzado el final de su vida útil. Si Accellion todavía apoyaba oficialmente el producto, entonces no debería intentar echar la culpa. Si el producto ha llegado al final de su vida útil, la oficina del auditor asume la responsabilidad de no pasar a un producto compatible.
“La pregunta más urgente en este momento es ¿quién más usa el mismo producto heredado? ¿Son todos vulnerables a los ataques? Esta violación podría tener serias ramificaciones para varias organizaciones grandes e importantes que tienen datos confidenciales. Las consecuencias de esta violación por sí solas podrían tener un impacto financiero a largo plazo en 1,4 millones de víctimas ”.
“Desafortunadamente, uno de los efectos secundarios de la pandemia de COVID-19 ha sido un enorme aumento en las solicitudes de desempleo en los Estados Unidos y otros países. Si bien se desconoce cuántos otros estados y países pueden usar la versión afectada del sistema de transferencia de archivos Accellion, es lógico que otros estados y regiones se vean afectados por ataques similares si no toman medidas inmediatas para actualizar sus sistemas.
“Si bien no es inusual que las agencias gubernamentales usen sistemas obsoletos debido a restricciones presupuestarias, usar un sistema heredado de 20 años como el que fue violado es imperdonable. Como mínimo, deberían haberse implementado los paquetes de software disponibles que están destinados a corregir la vulnerabilidad. La actualización al paquete más nuevo de Accellion después de que se produjo la infracción es otro ejemplo de cómo cerrar la puerta del granero después de que el caballo ha salido disparado.
“En cuanto a los 1.4 millones de solicitantes de desempleo del estado de Washington que han tenido sus nombres, números de seguro social y / o licencia de conducir o número de identificación estatal, información bancaria e información sobre el lugar de empleo expuestos, esto los abre a una mayor intrusión en su información privada . Los malos actores del mundo probablemente usarán la información adquirida en el hack para intentar aprender más sobre las víctimas. Los usuarios de desempleo del estado de Washington deberán estar alertas a los correos electrónicos de phishing, los correos electrónicos, los mensajes de texto y las llamadas telefónicas, todos diseñados para extraer más información personal de víctimas involuntarias. Las víctimas también querrán vigilar de cerca su crédito, utilizando informes crediticios, alertas de crédito y quizás servicios de monitoreo de crédito «.
“Este es un gran ejemplo de la necesidad de que las organizaciones creen un programa integral de confianza y seguridad que se centre en las personas, los procesos y los controles de tecnología para proteger los datos procesados y almacenados, ya sea dentro de su propia organización o con un tercero. Esta brecha enfatiza la importancia de la cultura de «seguridad primero» dentro de las organizaciones que deben estar al tanto de las últimas amenazas. La seguridad debe verse como un facilitador empresarial. El estado de Washington parece estar tomando las medidas correctas al presentar un proceso de respuesta a incidentes y alertar a los ciudadanos afectados ”.
“Las organizaciones deben buscar comunicaciones claras y una buena asociación con proveedores como Accellion. El informe indica que Accellion ha estado en el proceso durante años tratando de que los clientes actualicen la aplicación heredada en cuestión a una versión más moderna. Cualquier organización que reciba este tipo de asesoramiento de un proveedor o vendedor de aplicaciones debe prestar atención a la recomendación y trabajar con el proveedor para cerrar los agujeros de seguridad mediante software actualizado. ¿Quizás Accellion no estaba siendo lo suficientemente persuasivo? Además de eso, las organizaciones deben trabajar activamente con los proveedores para discutir qué tan fuertes son los mecanismos de seguridad incorporados y tal vez realizar una auditoría de las configuraciones de seguridad existentes para determinar deficiencias y planes de mitigación para reforzar la seguridad. Nuevamente, mantener la seguridad y la privacidad de la PII de las personas significa que las organizaciones deben evaluar de manera proactiva su postura de seguridad, descubrir y eliminar riesgos potenciales y, por supuesto, ir más allá de la seguridad puramente perimetral o basada en contraseñas hacia medios más centrados en los datos para proteger los datos sensibles .
“Una vez más, las comunicaciones claras y una excelente relación de trabajo con cualquier proveedor de aplicaciones deberían ayudar a garantizar que no esté utilizando software con vulnerabilidades conocidas (o sin parchear) o deficiencias de seguridad. Cualquier organización debe evaluar de manera proactiva su software empresarial con regularidad, asegurándose de que las actualizaciones o parches se apliquen de manera oportuna y también investigando las notas de la versión para comprender qué funciones se están implementando o qué errores se están solucionando. Trabajar con el proveedor cuando surgen preguntas es el mejor curso de acción. Hay muchos otros recursos en Internet disponibles para comprender lo que está sucediendo con cualquier aplicación común, pero no hay nada mejor que escucharlo de boca del proveedor.
“Creo que la mayoría de las empresas quieren creer que están siendo proactivas, y también creo que incidentes como este hacen que muchas de ellas se detengan (y también algunos sudores nocturnos). Sin embargo, están sucediendo tantas cosas en la empresa moderna, tanto en la empresa como en TI, que pasar del pensamiento a la acción a veces es muy difícil, especialmente en lo que respecta al aumento del gasto. Las organizaciones deben dar una prioridad absoluta a la seguridad de los datos, especialmente si están trabajando con la PII sensible de sus clientes. Las infracciones y los ataques pueden ser muy costosos no solo en multas y sanciones de los reguladores (si se involucran) sino también en gastos legales, mayores costos operativos y, por supuesto, cualquier impacto en la reputación de la marca. Las empresas tienen todo el incentivo para mantener la seguridad de los datos como su máxima prioridad, independientemente de qué incidente o violación esté en las noticias en este momento. Si está esperando otra filtración o filtración de datos de alto perfil para instarlo a actuar, es probable que no esté siendo tan proactivo como debería ser «.
“Los ciberdelincuentes suelen entrar explotando vulnerabilidades o aprovechándose de configuraciones erróneas. En este caso, existía una vulnerabilidad que se pasó por alto. Todos queremos confiar en que nuestros equipos de ciberseguridad están haciendo lo mejor que pueden para mantener alejados a los atacantes. Creo en lo que Reagan dijo una vez «confía, pero verifica». Es mucho mejor y menos costoso tener un aliado confiable que valide su seguridad que esperar hasta que un atacante la valide o invalide ”.