Peretas menggunakan dua akun Fidelity untuk mencuri data dari 77.000 pelanggan

Penjahat dunia maya baru-baru ini mencuri informasi pribadi 77,099 konsumen menggunakan dua akun pelanggan Fidelity Investments yang mereka buat dengan menyamar sebagai pelanggan sah, platform investasi ungkapnya dalam keterbukaan publik Rabu.

Antara 17 Agustus dan 19 Agustus, para penyerang “mendapatkan informasi tertentu tanpa izin menggunakan dua akun pelanggan yang baru saja mereka buat,” menurut surat Fidelity kepada para korban, yang diberikan kepada jaksa agung Maine. Perusahaan mendeteksi penyusupan pada 19 Agustus.

Fidelity belum secara terbuka merinci informasi pribadi apa yang terlibat dalam pelanggaran tersebut. Perusahaan dengan hati-hati menunjukkan bahwa pelanggaran tersebut melibatkan akses ke informasi pribadi pelanggan, bukan akun Fidelity mereka. Dengan kata lain, penyerang tidak mencuri uang atau investasi apa pun.

Sesuai prosedur standar setelah pelanggaran data tersebut, Fidelity telah menawarkan layanan pemantauan kredit dan pemulihan identitas kepada para korban.

Fidelity tidak segera menanggapi permintaan komentar.

Insiden di Fidelity yang diungkapkan minggu ini adalah pelanggaran data kedua yang mempengaruhi pelanggan Fidelity dalam satu tahun terakhir. Pelanggaran data pada bulan November di Infosys McCamish, penyedia perangkat lunak keuangan, mempengaruhi 31,227 pelanggan asuransi jiwa Fidelity Investments. Fidelity mengungkapkan pelanggaran tersebut, yang melibatkan kompromi di Infosys dan bukan Fidelity, pada bulan Maret.

Bank Amerika juga diungkapkan bahwa pelanggaran data di Infosys McCamish mempengaruhi 57,028 konsumen yang rekening kompensasinya ditangguhkan yang dilayani oleh bank.

Insiden Fidelity terbaru menimbulkan pertanyaan tentang bagaimana penyerang dapat menggunakan dua akun pelanggan Fidelity untuk mencuri data dari ribuan konsumen dan “menekankan perlunya mengamankan sistem internal serta perimeter eksternal,” kata Ray Kelly, rekan di perusahaan keamanan siber BlackDuck. dengan pengalaman 18 tahun di bidang keamanan internet, termasuk di Hewlett Packard dan Barracuda Networks.

Menurut Fidelity, penyerang membuat dua akun pengguna, lalu menggunakannya untuk mengakses data milik 77,099 pelanggan. Fidelity tidak menjelaskan apakah serangan tersebut terkait dengan kerentanan dalam proses pembuatan akun, atau apakah ada akun pengguna yang dapat digunakan untuk mengakses data konsumen lain.

Meskipun penjahat dunia maya terkadang membuat akun di suatu institusi untuk menyerang institusi tersebut, jarang sekali akun pelanggan memberikan akses yang cukup kepada penyerang untuk menyusupi akun pelanggan lain atau data mereka.

Dalam sebuah insiden yang diungkapkan pada bulan Agustus, USAA memberi tahu 32,276 pelanggan bahwa sebuah kesalahan — bukan serangan siber — yang secara tidak sengaja mencampuradukkan dokumen antar akun anggota.

“Akibat kesalahan tersebut, beberapa dokumen untuk anggota yang memiliki produk asuransi properti dan kecelakaan melalui USAA secara tidak sengaja diposting ke akun online anggota lain,” kata perusahaan tersebut kepada korban melalui surat yang dikirim pada 27 Agustus.

Tidak jelas dalam hal ini apakah satu akun memperoleh akses ke 32.276 informasi konsumen lainnya, atau apakah paparannya lebih acak dan bersifat individual — yaitu, apakah anggota individu memperoleh akses ke akun anggota individu lainnya. wajah USAA gugatan class action atas masalah ini.