Fidelity Investments potvrdio sigurnosni propust koji je ugrozio 77.000 korisnika

Redakcija
Objavio Redakcija 7 min za čitanje
Ilustracija - Cyber napad na finansijski sektor

U novom primjeru sve veće ranjivosti u finansijskom sektoru, kompanija Fidelity Investments, jedna od najvećih svjetskih firmi za upravljanje imovinom, potvrdila je sigurnosni propust koji je izložio osjetljive podatke preko 77,000 korisnika. Incident, koji se dogodio između 17. i 19. augusta 2024. godine, rezultirao je kompromitovanjem ličnih informacija poput brojeva socijalnog osiguranja i vozačkih dozvola, što je izazvalo ozbiljne sumnje kod klijenata u sigurnost podataka.

Fidelity, sa sjedištem u Bostonu, Massachusetts, objavio je detalje ovog incidenta u septembru 2024. godine, putem prijave državnom tužiocu države Maine. Kompanija je otkrila da je neovlašteni pristup sistemima ostvaren putem dva novootvorena korisnička računa. Ovaj događaj dodatno je potaknuo strahove o sigurnosnim propustima u finansijskoj industriji, gdje je povjerenje klijenata ključno, a njihovi podaci cilj broj jedan za cyber kriminalce.

Detalji incidenta i brza reakcija

Prema izjavama iz Fidelity-a, neovlašteni pristup je ostvaren putem dva nedavno kreirana korisnička računa, što je omogućilo trećoj strani da pristupi internim bazama podataka. Kroz ova lažna korisnička imena, napadači su uspjeli prikupiti lične podatke više od 77,099 korisnika u periodu od dva dana. Fidelity je otkrio ovaj propust 19. augusta, nakon čega je hitno zaustavio neovlašteni pristup i pokrenuo internu istragu kako bi se procijenila stvarna šteta.

U pismima upućenim pogođenim korisnicima, kompanija je osigurala da nisu ugroženi bankovni računi niti su povučena sredstva. Međutim, kompromitovani podaci uključuju osjetljive informacije kao što su brojevi socijalnog osiguranja i vozačke dozvole, što predstavlja ozbiljnu prijetnju za potencijalnu krađu identiteta, finansijske prevare i druge oblike cyber kriminala.

Briga zbog upotrebe novih računa

Jedan od najzabrinjavajućih aspekata ovog incidenta jeste kako su dva novootvorena računa mogla pristupiti tolikoj količini podataka o hiljadama korisnika. Fidelity još nije dao precizno objašnjenje za ovaj sigurnosni propust, što je izazvalo dodatne sumnje u njihove interne sigurnosne mjere. Činjenica da novi korisnički računi – obično podložni rigoroznim provjerama – mogu djelovati kao sredstvo za tako ozbiljan propust sugeriše da postoje sistemski problemi unutar Fidelity-ovih protokola za kreiranje i validaciju računa.

Zbog obima ovog incidenta, stručnjaci za cyber sigurnost pozivaju na veću transparentnost. Iako je kompanija odgovorila na nekoliko pitanja, izostanak detaljnih informacija izazvao je kritike na račun njihove reakcije na incident. Mnogi smatraju da kompanija mora preduzeti dodatne korake kako bi uvjerila korisnike da su njihovi podaci sigurno zaštićeni.

Sigurnosni propusti u finansijskom sektoru

Finansijski sektor je postao primarna meta za cyber kriminalce, zbog velike količine osjetljivih podataka koje čuva. Iako je propust u Fidelity-u zabrinjavajući, ovo nije prvi put da neka velika finansijska institucija postane žrtva ovakvih napada. Tokom godina, giganti poput JPMorgan Chase-a, Equifax-a i Capital One-a također su doživjeli slične incidente, koji su ugrozili milione korisnika i nanijeli ogromnu štetu reputaciji tih kompanija.

Jedan od najpoznatijih sigurnosnih incidenata desio se 2017. godine, kada je propust u Equifax-u ugrozio podatke 147 miliona Amerikanaca, što ga čini jednim od najvećih cyber incidenata u historiji. Slično tome, Capital One je 2019. godine doživio napad koji je otkrio lične podatke 100 miliona korisnika. Ovi incidenti naglašavaju sistemske rizike u finansijskom sektoru, gdje se čuvaju i obrađuju ogromne količine podataka, dok sigurnosne mjere često ne mogu zaustaviti sofisticirane napade.

Iako je broj pogođenih korisnika u Fidelity-ovom slučaju manji, izloženi podaci, poput brojeva socijalnog osiguranja i vozačkih dozvola, vrlo su vrijedni u rukama cyber kriminalaca. Ovaj incident samo dodaje na rastuću listu finansijskih firmi koje su bile meta napada, što pojačava potrebu za jačim sigurnosnim protokolima u cijeloj industriji.

Pravne posljedice i regulatorni odgovor

Kao što je uobičajeno nakon ovakvih propusta, Fidelity se može suočiti s ozbiljnim pravnim i regulatornim posljedicama u narednim mjesecima. U Sjedinjenim Američkim Državama, sigurnosni propusti koji uključuju lične identifikacione podatke obično zahtijevaju obavezno prijavljivanje na državnom i federalnom nivou. Prijave upućene državnim tužiocima Maine-a i New Hampshire-a pokazuju da Fidelity postupa u skladu s ovim propisima.

Međutim, stvarni izazov dolazi kada regulatori procijene da li je Fidelity imao odgovarajuće sigurnosne mjere za zaštitu podataka korisnika. U prošlim incidentima, kompanije su se suočavale s visokim kaznama i kolektivnim tužbama zbog nesigurnog rukovanja osjetljivim informacijama. Zakoni poput Opće uredbe o zaštiti podataka (GDPR) u Evropi i Zakona o zaštiti privatnosti potrošača Kalifornije (CCPA) u SAD-u mogu rezultirati visokim novčanim kaznama za kompanije koje ne ispunjavaju svoje obaveze.

Na primjer, Equifax je nakon svog propusta platio 700 miliona dolara kazni i nagodbi pogođenim korisnicima. Iako je još uvijek prerano za donošenje zaključaka o pravnim posljedicama Fidelity-ovog incidenta, izloženi podaci poput brojeva socijalnog osiguranja mogu dovesti do značajnih finansijskih sankcija, posebno ako se otkrije da su njihove sigurnosne mjere bile nedovoljne.

Vraćanje povjerenja: Šta Fidelity mora uraditi

Kako se Fidelity suočava s posljedicama ovog incidenta, prioritet će biti vraćanje povjerenja svojih korisnika, kojih ima preko 51 milion. Dok je kompanija obećala da će pojačati svoje sigurnosne mjere nakon incidenta, potrebne su konkretne akcije kako bi uvjerili korisnike da će njihovi podaci ubuduće biti bolje zaštićeni.

Neki od koraka koje Fidelity može preduzeti uključuju:

  • Jačanje protokola za verifikaciju računa: Incident je uključivao zloupotrebu novootvorenih računa, što sugeriše da je Fidelity-ov proces verifikacije novih računa potrebno detaljno pregledati i ojačati.
  • Napredni monitoring i detekcija prijetnji: Potrebno je uložiti u naprednije sisteme za praćenje kako bi se sumnjive aktivnosti otkrile što ranije, čime bi se smanjio prostor za napade.
  • Transparentnost i komunikacija: Fidelity bi trebao povećati transparentnost u vezi s koracima koje preduzima kako bi spriječio buduće propuste. To uključuje pravovremene obavijesti pogođenim korisnicima i jasnu komunikaciju o svim promjenama u njihovim sigurnosnim politikama.
  • Besplatne usluge zaštite identiteta: Zbog osjetljive prirode izloženih podataka, Fidelity bi mogao ponuditi pogođenim korisnicima usluge zaštite identiteta.
Podijeli ovaj članak