Нынешние и бывшие клиенты Latitude Financial разочарованы отсутствием связи со стороны компании и поставили под сомнение ее методы хранения данных после того, как небанковский кредитор подтвердил, что миллионы личных записей его клиентов, начиная с 2005 года, были украдены в результате кибератаки в начале этого месяца. .
Ключевые моменты:
- Бывшие и настоящие клиенты Latitude Financial говорят, что они разочарованы отсутствием информации со стороны компании об их кибератаке.
- Клиенты также задавались вопросом, почему Latitude хранит данные клиентов до 18 лет.
- Эксперт по кибербезопасности говорит, что взлом Latitude показывает наличие серьезных недостатков безопасности при использовании сторонних систем, которые необходимо устранить.
16 марта Latitude Financial сообщила, что в результате кибератаки пострадало более 330 000 личных записей, но несколько дней спустя компания предупредила, что утечка может увеличиться.
В заявлении, опубликованном для ASX в понедельник, Latitude Financial подтвердила, что в результате атаки было украдено 7,9 миллиона австралийских и новозеландских водительских прав, 53 000 номеров паспортов и менее 100 ежемесячных финансовых отчетов.
Latitude также подтвердил, что 6,1 миллиона записей о клиентах, которые были предоставлены до 2013 года, были скомпрометированы в результате взлома, в том числе некоторые из них относятся к 2005 году.
Это делает кибератаку Latitude Financial крупнейшей известной утечкой данных в австралийском финансовом учреждении, хотя компания не сообщила точно, сколько людей пострадало от взлома.
Но из-за отсутствия связи и накопления большого количества данных о клиентах клиенты в прошлом и настоящем злятся и разочаровываются в Latitude.
Гленн Джонстон — один из таких клиентов, пострадавший от утечки данных.
Впервые он стал клиентом Latitude Financial более 10 лет назад, когда компания принадлежала GE Capital.
Под брендом GE Money г-н Джонстон использовал услугу «купи сейчас, заплати позже» для покупки мебели и электроники.
Его данные были переданы в Latitude Financial при ее создании в 2015 году, после того как GE Capital продала свой бизнес в Австралии и Новой Зеландии консорциуму во главе с Deutsche Bank, KKR и Varde Partners.
Г-н Джонстон сказал, что он получил лишь ограниченное количество сообщений от Latitude об утечке их данных.
«Мы не слышали ничего, кроме очень общего первоначального электронного письма. А затем мы слышим другие новости, которые теперь перешли от потенциальных 300 000 клиентов к миллионам клиентов.
«Что меня расстраивает, так это то, что за последние 12 месяцев у нас было несколько нарушений, и можно подумать, что компании извлекут из этого уроки», — сказал он.
«Поэтому и Optus, и Medibank, несмотря на то, что поначалу они спотыкались, сумели настроить системы и процессы, чтобы помочь пострадавшим клиентам.
«Мы не получаем ничего из этого от Latitude».
Аманда-Джо Бирчалл, бывший клиент GE Money and Latitude, разделяет разочарование г-на Джонстона в связи с тем, что компания не связалась с ней по поводу взлома.
Впервые она подписалась на кредитную карту GE Money для оплаты поездки в Токио примерно в 2015 году и перестала быть клиентом в 2019 году после выплаты долгов.
Г-жа Бирчалл имела несчастье быть вовлеченной в очередную утечку данных с компанией, у которой она была предыдущим клиентом, но сказала, что существует существенная разница в коммуникационных стратегиях.
“Я получил электронное письмо [from this company] говоря, что это произошло, и маловероятно, что мы пострадали», — сказала она.
«Но я вообще ничего не слышал от Latitude».
Latitude Financial неоднократно отклоняла запросы на интервью с ABC с тех пор, как почти две недели назад впервые объявила о кибератаке, и вместо этого делилась дополнительными обновлениями через ASX.
Эксперт по кибербезопасности Университета Нового Южного Уэльса, профессор Ричард Бакленд, сказал, что продолжающееся молчание Latitude не является положительным признаком.
«Радиомолчание нехорошо», — сказал профессор Бакленд.
«Я подозреваю, что они обеспокоены своей репутацией, ценой акций и судебными исками, и все это разумные вещи, о которых следует беспокоиться.
«Но я думаю, что на данный момент главным приоритетом действительно должна быть забота о гражданах, на которых это повлияло».
14 миллионов записей для 3 миллионов клиентов
Помимо разочарования в связи с отсутствием связи с Latitude, г-н Джонстон сказал, что он также обеспокоен тем, что его данные хранятся в компании в течение нескольких лет.
«Зачем им данные, которым более 10 лет?» — сказал мистер Джонстон.
«Моя клиентская база насчитывает более 10 лет, и изначально она была передана без моего ведома и разрешения.
«Мы только что перешли с продажей денег GE в Latitude. Я не имел права решать, что делать с моей информацией».
Г-жа Бирчалл также обеспокоена тем, что компания хранит ее данные, хотя она уже много лет не является клиентом.
«Судя по документам, в 2016 году они захватили компанию, в которой была моя кредитная карта», — сказала она.
«Итак, с 2016 года у них есть эти данные, эта моя информация. Это долгое время.
«Я не был клиентом в течение достаточно долгого времени, и все же их нарушение затрагивает данные из далекого прошлого.
«Это почти вся информация, которая нам нужна для кражи удостоверений личности, не так ли?»
В соответствии с Австралийскими принципами конфиденциальности (APP), руководящими принципами, используемыми Управлением Комиссара по информации Австралии (OAIC), принцип 11.2. говорится, что «лица также должны предпринять разумные шаги для уничтожения или деидентификации личной информации, которой они владеют, как только она больше не нужна для какой-либо цели, для которой она может использоваться или раскрываться в рамках ПРИЛОЖЕНИЙ».
«Это требование не применяется, если личная информация содержится в «записи Содружества» или когда организация обязана по закону или постановлению суда / трибунала сохранить личную информацию».
Законы, касающиеся хранения данных финансовой интуиции, туманны, и несколько факторов пересекаются в разных юрисдикциях и отраслях.
ABC не предполагает, что Latitude Financial нарушила или нарушила этот принцип.
Но Роб Николлс, адъюнкт-профессор регулирования и управления в UNSW, сказал, что надлежащее уничтожение данных клиентов может быть дорогостоящим мероприятием, но невыполнение этого требования вызывает вопросы, касающиеся корпоративного управления и управления данными.
«Я думаю, что часть проблемы заключается в том, что хранить данные дешевле, чем правильно их очищать», — сказал он.
«Другая проблема заключается в том, что иногда отделы продаж вынуждены хранить данные как источник потенциальных клиентов.
«В случае с Latitude хорошее корпоративное управление и хорошее управление данными должны были вызвать вопросы.
«Почему мы храним 14 миллионов записей, когда у нас всего 3 миллиона клиентов?
«Тот факт, что этот основной вопрос не был задан и что данные многих бывших и потенциальных клиентов были сохранены, указывает на значительный дефицит управления».
Сходства между крупными кибервзломами
Профессор Бакленд сказал, что раскрытие Latitude Financial сторонней системы, являющейся шлюзом для взлома, имеет параллели с кибератакой на Medibank в прошлом году, которая затронула 9,7 миллиона клиентов.
«Medibank недавно опубликовал некоторую информацию о том, как они были взломаны, и, похоже, это были учетные данные, внутренние учетные данные Medibank, которые были украдены через стороннего провайдера», — сказал профессор Бакленд.
«Это кажется тревожно похожим на то, как Latitude до сих пор указывает на то, что он был взломан».
В своем полугодовом отчете Medibank сообщил, что его кибератака началась, когда преступник получил доступ к его системам, «используя украденные имя пользователя и пароль Medibank, используемые сторонним поставщиком ИТ-услуг».
Medibank заявил, что это затем использовалось для доступа к его сети и позволило преступнику получить дополнительные имена пользователей и пароли для доступа к нескольким системам Medibank.
Medibank не раскрыл, кто является ответственным сторонним поставщиком ИТ-услуг, но подтвердил ABC, что они все еще пользуются их услугами.
Для сравнения, Latitude сообщил ASX, что атака началась с крупного поставщика, которого использовала компания, который, как понимает ABC, был поставщиком серверной инфраструктуры.
В Latitude заявили, что затем хакеры получили данные для входа в систему сотрудника Latitude, которые затем использовались для кражи записей о клиентах у двух поставщиков услуг Latitude.
Latitude не уточнил, что имеется в виду под поставщиками услуг.
Профессор Бакленд сказал, что сходство между двумя кибервзломами показывает, что в процедурах безопасности есть пробелы, которые необходимо срочно исправить.
«Я думаю, что мы видим здесь закономерность: компании не защищают должным образом свой бизнес независимо от того, каковы их внешние заверения, и мы все еще наблюдаем те же ошибки, происходящие даже после публичного раскрытия последствий ошибиться.
«Так что, похоже, пришло время для вмешательства правительства».
Загрузка формы…