En Cherry Bomb, el nostálgico himno de John Cougar, escribe con nostalgia por los buenos viejos tiempos: «Aquellos eran tiempos en los que el deporte era deporte».
La semana pasada, añoraba los buenos viejos tiempos en los que una filtración de datos era una filtración de datos...
Como es de dominio público, el 3 de mayo, US Bank anunció que unos piratas informáticos habían robado parte de la información W-2 de sus empleados y otros datos del portal de empleados ADP de US Bank. Este suceso ha sido ampliamente difundido y conocido como la «violación de ADP» del 3 de mayo, un nombre algo engañoso para el episodio, según se ha descubierto.
Algunos antecedentes, extraídos en gran parte de las siempre excelentes columnas de Krebs on Security AQUÍ.
Los atacantes robaron la información personal de las víctimas (fechas de nacimiento, números de la seguridad social, etc.) de una fuente desconocida en el momento de redactar este artículo... no de ADP ni de US Bank. A continuación, los delincuentes:
- De alguna manera, se hizo con la URL y el código de empresa del portal ADP de US Bank, que US Bank admite haber publicado para sus empleados con pocas restricciones.
- De alguna manera, correlacionaron los nombres, números de la Seguridad Social y fechas de nacimiento robados con los empleados del US Bank que aún no habían registrado sus inicios de sesión en el portal ADP, lo que significa que los hackers podían utilizar la URL publicada y el código de la empresa para crear contraseñas para los empleados en el portal ADP.
- A continuación, accedieron a los portales ADP de los empleados para obtener los formularios W-2 y otros datos que luego utilizaron para presentar declaraciones de impuestos falsas y cobrar reembolsos fraudulentos.
Ahora es el momento de tu cuestionario de opción múltiple. En este caso, la organización víctima de una «violación» fue:
A. ADP
B. US Bank
C. IRS
D. No tengo ni idea...
Me decanto por la opción D.
Ahora bien, ¿debe ADP revisar su proceso de registro de nuevos empleados de sus clientes en los portales de sus empresas? Por supuesto. ¿Debería US Bank tener más cuidado con la URL de registro del portal de ADP y los códigos de empresa? Sin duda alguna. ¿Se produjo una «violación» de la seguridad de ADP? Desde luego, no en el sentido tradicional.
Si alguien roba mi tarjeta de crédito y compra un televisor de pantalla plana en Best Buy, ¿se ha producido una violación de la seguridad de Best Buy?
Dicen que un rumor da la vuelta al mundo antes de que la verdad se ponga las botas, y creo que ese dicho puede aplicarse aquí.
En las próximas semanas conoceremos más detalles sobre este incidente, pero en este momento parece claro que calificarlo como una «violación de ADP», evocando imágenes de delincuentes infiltrándose en la red de ADP, apropiándose de credenciales de alto nivel y robando montones de formularios W-2, es más un rumor que una realidad.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
