ABD hükümetinin finans sektöründeki tüketicileri koruyan bir kurumu olan Tüketici Mali Koruma Bürosu (CFPB), bir çalışanın 256.000 tüketicinin kişisel bilgilerini kişisel bir e-posta hesabına e-posta ile göndererek büyük bir ihlal gerçekleştirdiğini duyurdu.
Milletvekilleri ve tüketici bürosu müdürü Rohit Chopra arasındaki brifinglerde ajans personeli, ihlalden ilk olarak 14 Şubat’ta haberdar olduklarını seçilmiş yetkililere bildirdi. Mali Hizmetler Komitesi’nin konuyla ilgili soruşturma heyeti başkanı Temsilci Bill Huizenga, Chopra’ya “kayıt aktarımının muhtemelen 50’den fazla finans kuruluşunun hassas bilgilerini içermiş olabileceğine” dair bir mektup ve 25 Nisan’a kadar son tarih olan bir brifing talep etti.
İhlali gerçekleştiren kişinin işine ajans tarafından son verildi ve kişiden e-postaları silmesi ve kanıt sunması istendi, ancak kişi bu taleplere henüz uymadı.
Ajans, “Kişisel ve gizli verilerin bu yetkisiz aktarımı kesinlikle kabul edilemez. Tüm CFPB çalışanları, gizli veya kişisel bilgileri korumak için Büro düzenlemeleri ve Federal yasa kapsamındaki yükümlülükleri konusunda eğitilmiştir.”
Şu anda ajans, ihlale dahil edilen bilgilerin yedi kurumdan müşterilerin kişisel olarak tanımlanabilir bilgilerini (PII) içerdiğini belirledi, ancak henüz PII’nin hassasiyet derecesinden emin değiller ve hala risk seviyesini değerlendiriyorlar. ilgili tüketicilere duyurulur.
“Maalesef bu, hassas verilerin beceriksizce ele alınmasına bir örnek. İlgili kişinin kötü niyeti olmasa bile, e-posta şifrelenmiş olsun, o e-posta hesabına başka kimlerin erişimi var ve veri gizliliği açısından yine de büyük riskler var. Specops Software’in kıdemli ürün müdürü Darren James, e-postayla gönderilen bir açıklamada, “kişisel e-posta hesabında güçlü bir parola veya MFA etkinleştirildi” dedi. “CFPB’nin burada sorumlu veri işleme konusunda öğrenmesi gereken bir ders var. Yapılan tüm eğitimler başarısız oldu ve bu örnekte olduğu gibi kötü güvenlik hijyenini önlemek için gelecekte Siber Farkındalık Eğitimine daha fazla önem verilmelidir.”