应收账款服务提供商向潜在受影响客户披露网络泄露事件

金融公司数据泄露通知客户

关键要点

金融机构已经习惯了这样一个事实：发现并清理系统中最具破坏性的恶意软件可能需要很长时间，而确定其对网络及客户数据的整体影响则需要更长时间。

例如，专业财务公司PFC于7月1日公开声明，将通知可能受今年数据泄露事件影响的客户。PFC是一家负责账户应收管理的公司，支持多种组织。在2月底，PFC首次发现并清除了进入其计算机系统的勒索软件。根据 Blumira 和IBM在5月底发布的研究，数据泄露的平均持续时间为287天，其中发现要花费212天，处理需要75天。

“在事件被发现和最初通知其医疗服务提供者客户之间的时间间隔太大，每个细节都需要时间来理解和分析。”Chris Clements，Cerberus Sentinel的解决方案架构副总裁

在今年早些时候发现恶意软件时，这家位于科罗拉多州格里利的金融公司聘请了外部的网络取证专家，开始调查这一泄露事件的程度，这次事件可能已经持续了数周或数月。作为其应收款供应商的角色，PFC与许多 医疗服务提供者 合作，早在5月初就通知了他们有关此网络攻击的情况。

“网络犯罪分子使用社交工程或攻击脆弱系统来获取对组织的访问，虽然一些组织能够在短时间内检测并阻止攻击，但不确定的是，此次攻击影响了多少人。”James McQuiggan，KnowBe4的安全意识倡导者

关于数据泄露的一个更具挑战性的问题是网络犯罪者在组织网络内部滞留的时间有多长，并且是完全未被发现的。“网络犯罪者在潜伏期间，会通过利用漏洞和被盗凭证静静渗透到关键系统中。”McQuiggan补充道。

PFC最近表示，这次入侵仅影响了他们公司的数据，并宣称“没有发现个人信息被具体滥用的证据。”根据上周五发布的公告，PFC还指出，“可能以下信息被未经授权的第三方访问：姓名、地址、应收账款余额和付款信息，并且在某些情况下，包括出生日期、社会安全号码和 健康保险及医疗处理信息。”

PFC最近向可能数据受损的个人邮寄了信件，告知他们有关泄露事件的信息，并提供免费的信用监测和身份盗窃保护服务。

Clements表示，“太多组织在发生泄露后，才意识到他们缺乏足够的工具、流程或人力来迅速识别潜在损害的原因和范围。”在这种情况下，调查可能会拖延数月，才能准确了解事件的全貌。

“在此期间，网络犯罪者可以通过将被盗数据转售给其他恶意行为者或自己利用它们来发动针对未察觉到其数据被盗的受害者的精准攻击。”Clements补充道。

虽然在被通知潜在数据被盗后审查财务账户和追踪近期期信变更是有用的，但Clements和McQuiggan大多数行业安全专家的意见一致建议金融机构鼓励客户积极监控其账户和信用评分，无论他们是否怀疑自己直接或间接涉及此次泄露事件。

正如McQuiggan所指出的：“网络犯罪分子的目标是赚钱数据泄露案件中，他们可以盗