یک خطای فنی در پیکربندی اطلاعات شخصی متعلق به مشتریان بزرگترین شرکت تامین کنندهی انرژی New England، باعث شد تا اطلاعات مشتریان به بیرون درز پیدا کند.
به گزارش گرداب، در ۱۶ ماه مارس، شرکت Eversource متوجه شد که یکی از فایلهای ذخیره کنندهی دادههای ابری، اشتباه تنظیم شده و به جای محدود کردن دسترسی به اطلاعات، آن را دسترس عموم قرار داده است.
این شرکت به بیش از ۳.۶ میلیون مشتری برق و گاز طبیعی در کنتیکت، ماساچوست و نیوهمپشایر خدمات ارائه میدهد. تیم امنیتی Eversource متوجه شد که این فایل، حاوی اطلاعات شخصی مشتریانی است که در شرق ماساچوست ساکن هستند. این اطلاعات شامل نام، آدرس، شماره تلفن، شماره تامین اجتماعی، صورت حسابها و شماره حساب آنها در Eversource است.
به محض شناسایی این مشکل، در بخش امنیتیِ این فایل بلافاصله تغییراتی ایجاد شد و تیم امنیتی این شرکت باور دارد که اطلاعات شخصی موجود در آن در دسترس سارقان و تبهکاران قرار نگرفته و هیچ سرقت یا سوءاستفادهای از این اطلاعات نشده است. شرکت امنیت سایبری CyberScout به نمایندگی از Eversource در حال بررسی این موضوع است. در سندی که توسط CyberScout منتشر شده است، نوشته شده که این مشکل روی حدود ۱۱ هزار مشتری اثرگذار بوده است.
مطابق این سند، این فایلها در آگوست سال ۲۰۱۹ بدون رمزگذاری ایجاد شدهاند، پس حدود یک سال و هفت ماه، این اطلاعات قابل دسترس برای عموم بوده است. یکی از مشتریان Eversource که از این شرکت در رابطه با درز اطلاعات شخصیاش نامهای دریافت کرده بود، در Reddit از نارضایتی خود از این موضوع صحبت کرد.
او نوشته بود: «نظرم راجع به Eversource تغییر کرده و اصلاً راضی نیستم. احتمالاً تا چند روز آینده آن دسته از مشتریانی که تا الان این نامه را دریافت نکردهاند، چنین نامهای را دریافت خواهند کرد.»
James McQuiggan، مشاور شرکت KnowBe۴، گفت: «سازمانها باید به هنگام استفاده از سرورهای ابری سعی کنند تا در رعایت پروتکلهای امنیتی بیشتر دقت کنند. سازمانها به محض استفاده از هر سرویس، باید آن را قفل کنند و اجازهی دسترسی، فقط به افراد مجاز داده شود. همچنین بخشهای اطلاعاتی با هماهنگی سایر بخشها باید اطمینان حاصل کنند که به هنگام استفاده از اینترنت، اطلاعات موجود در سرورها برای عموم در دسترس نباشد.»