根据纽约金融服务部的审计结果,OneMain Financial在2018年至2020年之间经历了至少三次长期的网络安全事件,这些事件是由多项安全程序和访问控制的失败引起的,让其在未经授权的访问实例中变得“更加脆弱”。
金融服务监督局长Adrienne A Harris在5月25日宣布,OneMain Financial将向州监管机构支付425万美元的罚款,以解决常规DFS审计中发现的违规行为。
这些失败与多起网络安全事件有关。
海鸥加速器免费版下载安装例如,DFS报告指出,从2017年12月29日到2018年1月9日,负责处理和管理在线借记卡支付的第三方供应商允许一些用户未经授权访问其他客户的非公开信息NPI。该事件被认为是因为供应商未能清除旧的客户账户号码,将其分配给新账户所致。
在2018年,黑客进入了OneMain的收款律师事务所的电子邮件,这些邮件包含了客户识别信息。然后在2020年7月10日,OneMain通过其在线门户发送了包含与数百名客户相关的代码的链接,这是软件更新的第一阶段。
“这样的代码应该是线程安全的,即设计和测试以确保其仅按预期执行,”根据DFS的发现。“然而,这段代码并非线程安全,某些登录账户的客户意外地被迁移到其他账户持有人的文件中。”
根据2017年DFS网络安全法规,金融实体需遵循一套安全要求的框架,确保公司采用最佳实践措施来保护其信息系统和消费者数据,免受安全风险。
该网络安全法规要求实体限制包含消费者数据的系统的用户访问权限,并定期审查访问权限。
对OneMain的审计发现该公司未能妥善管理第三方服务提供商的风险和访问权限,且未保持应用程序的正式安全开发方法论。此外,公司自身的安全检查发现了许多漏洞和安全问题,但未能及时修复这些问题。
DFS还发现OneMain的网络安全程序存在缺陷,而这些缺陷在其自身的内部审计单位中并未被发现。
OneMain的内部审计团队在2018年和2019年通过六次手动进行的权限访问审查发现了多项与用户访问权限相关的问题。审计的手动性引入了“对于拥有数百个应用程序和超过11000名用户的网络来说不可接受的人为错误高风险”。
公司的审计团队还发现本地管理用户之间共享账户,这使得识别恶意行为者变得困难甚至不可能。OneMain还允许用户在入职时使用公司提供的默认密码,这增加了未经授权访问的风险。
内部审计还发现,密码被存储在共享驱动器上,而缺乏适当的访问限制。尽管“包含密码的文件被加密并设置了密码保护,但
海鸥加速器支持智能分流,根据不同的网络需求选择最优线路,提高数据传输效率,让全球互联更加顺畅,提升整体使用体验。
