Desjardins: κενά ασφαλείας οδήγησαν σε μαζική παραβίαση

Η μεγαλύτερη χρηματοοικονομική υπηρεσία στον Καναδά, η Desjardins, υπέστη μαζική παραβίαση των δεδομένων της, λόγω κενών ασφαλείας στην εγκατάσταση ασφαλείας της εταιρείας Quebec.

Σύμφωνα με τα όσο δήλωσε ο επίτροπος απορρήτου του Καναδά, Daniel Therrien, “η Desjardins δεν επέδειξε το κατάλληλο επίπεδο προσοχής που απαιτείται για την προστασία των ευαίσθητων προσωπικών πληροφοριών που έχουν ανατεθεί στη φροντίδα της”.

“Οι πελάτες και τα μέλη του οργανισμού, καθώς και όλοι οι πολίτες, δικαιολογημένα σοκαρίστηκαν από την κλίμακα αυτής της παραβίασης δεδομένων“

Υπαίτιος του περιστατικού ήταν ένας υπάλληλος

Όπως αναφέρει η έρευνα, η παραβίαση έθεσε σε κίνδυνο τα δεδομένα περίπου 9,7 εκατομμυρίων Καναδών. Οι λογαριασμοί περιλάμβαναν επτά εκατομμύρια πελάτες από το Quebec, δήλωσε η Diane Poitras, πρόεδρος της Επιτροπής του Quebec.

Για τουλάχιστον 26 μήνες, ένας «κακόβουλος» υπάλληλος ήταν σε θέση να αντιγράφει ευαίσθητα προσωπικά στοιχεία που συλλέγονται από την Desjardins, από πελάτες που είχαν αγοράσει ή λάβει προϊόντα που προσφέρονται άμεσα ή έμμεσα από τον οργανισμό, αναφέρει η έκθεση.

Οι πληροφορίες αποθηκεύτηκαν αρχικά σε δύο αποθήκες δεδομένων στις οποίες ο υπάλληλος είχε περιορισμένη πρόσβαση. Ωστόσο, άλλοι υπάλληλοι, ως μέρος της εργασίας τους, αντιγράφουν τακτικά αυτές τις πληροφορίες σε μια κοινή μονάδα δίσκου. Ως αποτέλεσμα, οι εργαζόμενοι που συνήθως δεν είχαν την απαιτούμενη άδεια πρόσβασης σε ορισμένα από τα εμπιστευτικά δεδομένα, ήταν σε θέση να το πράξουν.

Μιλώντας σε δημοσιογράφους, ο Therrien χαρακτήρισε απαράδεκτο το γεγονός ότι μια εταιρεία του μεγέθους της Desjardins δεν είχε την ικανότητα να αποτρέψει την παραβίαση.

“Οι Καναδοί αναμένουν ότι οι τραπεζικές πληροφορίες θα έχουν υψηλό επίπεδο προστασίας, δεδομένης της ευαισθησίας τους”, είπε.

“H Desjardins έχει αναγνωρίσει ορισμένες από τις αδυναμίες ασφαλείας που οδήγησαν τελικά στην παραβίαση και έχει αναπτύξει ένα σχέδιο για την αντιμετώπισή τους. Ωστόσο, απέτυχε να διορθώσει τα ζητήματα εγκαίρως για να αποτρέψει αυτό που συνέβη”, δήλωσε ο Therrien.

“Επιπλέον, η παραβίαση συνέβη περισσότερο από δύο χρόνια πριν η Desjardins την ανακαλύψει, πράγμα που συνέβη μόνο μετά την ειδοποίηση της οργάνωσης από την αστυνομία”.

Ωστόσο, ο Therrien είπε ότι είναι ικανοποιημένος με τα μέτρα μετριασμού που προσέφερε η Desjardins στους πληγέντες πελάτες μετά την παραβίαση. Σε μια δήλωση, η εταιρεία είπε ότι θα εργαστεί τα επόμενα χρόνια για να δημιουργήσει αυτό που ονόμασε πλατφόρμα ψηφιακής ταυτότητας. Η εταιρεία είπε ότι αυτό θα επιτρέψει την κοινή χρήση πληροφοριών με μεγαλύτερη ασφάλεια και θα δώσει στους ανθρώπους μεγαλύτερο έλεγχο στα δικά τους δεδομένα.