面对调查,百利保卫数据库安全实践

Shredded paper, courtesy of Shutterstock百利:2500客户记录,在2006年公开。

环联:3,623 2005年。

除了 ​​这些,再次列出,并再次在的名单DataLossDB.org ,可以追溯到2005年并仍在强烈的今天,几十个“未知”的名称,地址,出生日期,社会安全号码的情况下,和驾驶执照号码访问的Equifax,Experian和环联,分布于跨越多年的违规行为。

百利,捍卫自己的安全的做法后,彭博上月底发表的一份报告,信用报告机构如何保护自己的数据库有关的缺陷。

在该报告中,彭博的约旦罗伯逊吻合86数据违反自2006年以来,演示如何攻击者避免直接针对信用报告机构,而不是去后,下属企业 – 如银行,汽车经销商和甚至一个警察部门 – 依赖的背景的机构信用检查。

这些违规行为导致盗窃自2006年以来的近15,500信用报告。

作为Robertson的报告的结果,爱尔兰数据保护专员,强制执行隐私法的国家,办公室正在调查了百利的安全的做法

违反百利,黑客们已经打破了其客户的计算机网络,窃取他们的密码来访问网上的信用报告。

爱尔兰的监管机构的目的是找出是否百利无法检测到这种欺诈行为负责。

发言人百利拒绝发表评论,但罗伯逊在一封电子邮件中说,违规情况:

“隔离的安全问题所经历的一个小数目,我们的客户在北美,根据美国的数据保护司法管辖区的美国消费者。”

事实上,百利的客户承担责任,监控和维护自己的系统和凭证的安全性,该发言人说。

这位发言人说,百利,它的一部分,使用:

“先进的技术,以检测异常,可能表明可疑活动的系统访问,我们立即标记的客户端,并在适当的时候,消费者和执法。”

这样的“先进的技术是否足够的问题,这是根据美国国会两院的调查,正在寻找数据收集(和潜在的,安全的Experian,Equifax和环联)的做法。

Experian至少有一个的故事,违反客户强调的是如何百利的数据库漏洞很可能被追究责任。

“阿比林电信联邦信贷联盟,西得克萨斯州中部的一个小银行,在线密码百利去年被盗。在快如闪电的时间里,847的信用报告被窃取,包括那些从人谁愿意与银行从来没有做过生意。

罗伯逊写道,百利应该已经觉察到欺诈,因为信用报告的数量超出银行的典型每月抽奖:通常发生爆炸,它有一个每月账单100美元或更少,但发送欺诈性交易,至3,493.73。

最重要的是,在攻击开始的某一天,当银行被关闭。

罗伯逊可能相吻合1的一杯羹,但事实是,没有人可以肯定地说有多少信用报告机构的记录被破坏,因为这些机构的嘴唇只是粘关闭。

正如纽约时报“ 报道有关数据库营销公司Acxiom公司,超越了个人身份识别信息,如社会安全号码,姓名,地址,信用卡信息之类的,数据聚合“窥探”更深入地比FBI或IRS找到信息,包括“年龄,种族,性别,体重,身高,婚姻状况,教育程度,政治,购买习惯,家庭健康状况的担忧,度假的梦想 – 和和。”

Padlocked files, courtesy of Shutterstock美国国会的代表在7月的一组要求更多的透明度,并指出,消费者在黑暗中的数据经纪人的身份,他们是如何收集的个人信息,向他们出售或提供此信息的机构。

管理员的DataBreaches.Net,谁去简单的标题是“admin”,并与美国联邦贸易委员会(FTC)在4月提出的投诉百利说, 我们根本不知道有多少客户端登录的妥协,蒸发 ,因为只有少数的美国各州有违反报告的中央存储库,和更少的作出报告,随时可在一个公共网站。

S /他写道:

我们所知道的关于百利违反我们只知道,因为志愿者在文件DataLossDB.org -包括该博主-根据信息自由法的报告。 Experian的违例行为,将可能继续逃避公众或国会的审查,因为没有一个国家的中央存储库,提供给公众和国会的违反报告。我们需要解决这个问题。

“管理员”称赞国会议员代表消费者的努力,并表示希望他/她的国家总检察长打开自己的调查,

“决定,如果他们的居民都得到充分的保护,违反涉及数据丰富的信用报告。”

这是一个明智的号召人们拿起武器。

荣誉的美国国会议员和爱尔兰监管机构要求的透明度。

让我们的希望,但是,这种关注超越了对透明度的需求,而且在年底的一天,我们看到支付额外的数据库保护的关注,我们应该要求数据经纪人。

在的阿比林电信的故事显示,“复杂的”技术或没有,他们可以做更多的不仅仅是离开安全主要是为客户。