top of page

OneMain betaler 30 mio. kr. i bøde efter at have ignoreret sikkerhedsfejl

OneMain, et førende amerikansk finansieringsselskab, er blevet tvunget til at betale en bøde på 30 mio. kroner som følge af flere dataangreb, der blev udløst af alvorlige sikkerhedsfejl. Selskabet blev afsløret i at have ignoreret vigtige sikkerhedsproblemer, der potentielt kunne have været forhindret.


Onemain Financial, New York Department of Financial Services, Finansieringsselskab, Cybersikkerhed, Dataangreb, IT-sikkerhed

Dataangrebene, der fandt sted i løbet af en periode på flere måneder, førte til kompromittering af kundedata og personlige oplysninger. OneMain blev konfronteret med en betydelig mangel på it-sikkerhed og utilstrækkelige sikkerhedsforanstaltninger.


Et tidligere sikkerhedsfirma, der blev hyret til at gennemgå selskabets it-infrastruktur, identificerede flere kritiske sårbarheder, der blev ignoreret af OneMain. Disse fejl gjorde det muligt for angribere at få adgang til følsomme oplysninger og infiltrere systemet.


Efter at have afvist flere advarsler om de eksisterende sikkerhedsproblemer, undlod OneMain at træffe passende foranstaltninger til at rette op på situationen. Som et resultat blev dataangrebene udført med succes, og fortrolige oplysninger blev stjålet.


For at håndtere situationen har OneMain indvilliget i at betale en bøde på 4,5 millioner dollars til de berørte parter, herunder ofre for datatyveri og retshåndhævelse. Derudover er selskabet forpligtet til at forbedre sin it-sikkerhed og implementere effektive sikkerhedsforanstaltninger for at forhindre fremtidige dataangreb.


Denne hændelse fremhæver vigtigheden af at prioritere it-sikkerhed og tage kritiske sikkerhedsproblemer alvorligt. Virksomheder bør være opmærksomme på risiciene ved at ignorere sådanne advarsler og træffe passende handling for at beskytte kundernes oplysninger og forhindre potentielle dataangreb.


Hvad skete der helt præcist?


OneMain Financial stødte på en række væsentlige cybersikkerhedshændelser mellem 2018 og 2020. Disse hændelser var forårsaget af forskellige fejl i deres sikkerhedsprogram og adgangskontroller, hvilket gjorde dem mere modtagelige for uautoriseret adgang. Revisionen udført af New York Department of Financial Services afslørede disse resultater.


For at løse de overtrædelser, der blev opdaget under en rutinemæssig DFS-revision, annoncerede Adrienne A. Harris, Superintendent of Financial Services, den 25. maj, at OneMain Financial ville betale en bøde på 30 millioner kroner til den statslige regulator.


Cybersikkerhedshændelserne var forbundet med flere hændelser. For eksempel rapporterede DFS, at fra den 29. december 2017 til den 9. januar 2018 gav en tredjepartsleverandør, der var ansvarlig for at behandle og administrere online betalingskortbetalinger, utilsigtet uautoriseret adgang til nogle brugere, hvilket gav dem mulighed for at se andre kunders NPI ( Ikke-offentlige oplysninger). Denne hændelse blev tilskrevet leverandørens manglende fjernelse af tidligere kundekontonumre, før de blev tildelt nye konti.


I en anden hændelse i 2018 fik en hacker adgang til e-mails fra OneMains indsamlingsadvokatfirma, som indeholdt kundeidentifikatorer. Derefter, den 10. juli 2020, sendte OneMain utilsigtet et link gennem sin onlineportal, der inkluderede kode knyttet til hundredvis af kunder, som en del af en indledende fase af en softwareopdatering.


Ifølge DFS-resultaterne skulle denne kode være designet og testet for at sikre, at den kun blev udført efter hensigten, dvs. trådsikker. Imidlertid blev koden fundet at være ikke-trådsikker, hvilket førte til utilsigtet migrering af visse kunder til andre kontohaveres dokumenter, når de loggede ind på deres konti.


I henhold til 2017 DFS Cybersecurity Regulation er finansielle institutioner forpligtet til at overholde et sæt sikkerhedskrav, der sikrer implementeringen af ​​bedste praksis for at beskytte deres informationssystemer og forbrugerdata mod sikkerhedsrisici.


Denne cybersikkerhedsforordning giver enheder mandat til at begrænse brugeradgangsrettigheder til systemer, der indeholder forbrugerdata, og foretage regelmæssige gennemgange af disse adgangsprivilegier. Revisioner opdagede dog mangler i OneMains cybersikkerhedsprogram.


Utilstrækkeligt risiko kontrol


Under revisionen blev det afsløret, at OneMain havde utilstrækkeligt styret risici forbundet med tredjepartstjenesteudbydere og adgangsrettigheder. Derudover vedligeholdt virksomheden ikke en formel sikkerhedsudviklingsmetodologi til applikationer. På trods af at have identificeret adskillige sårbarheder og sikkerhedsproblemer, lykkedes det ikke OneMains eget sikkerhedsteam at løse disse problemer effektivt.


DFS identificerede også mangler i OneMains cybersikkerhedsprogram, som ikke blev afdækket af virksomhedens interne revisionsenhed. OneMains interne revisionsteam gennemførte seks manuelle privilegieadgangsgennemgange i 2018 og 2019, som fremhævede problemer relateret til brugeradgangsprivilegier. Den manuelle karakter af revisionen indførte en høj risiko for menneskelige fejl, hvilket blev anset for uacceptabelt for et netværk med talrige applikationer og over 11.000 brugere.


Desuden opdagede revisionsteamet, at lokale administrative brugere delte konti, hvilket gjorde det udfordrende at identificere ondsindede aktører. OneMain tillod også konti at bruge standardadgangskoder, der blev givet under onboarding, hvilket markant øgede risikoen for uautoriseret adgang.


Intern revision


Den interne revision afslørede også, at adgangskoder blev gemt på fællesdrev uden tilstrækkelige adgangsbegrænsninger. Foruroligende nok var filen, der indeholdt adgangskoderne, krypteret og adgangskodebeskyttet, men blev gemt i en mappe med navnet 'PASSWORDS', hvilket gør den sårbar for alle med adgang til det interne fællesdrev, inklusive personale i OneMains callcenter.


Bortset fra fejlene i identitets- og adgangsstyring, identificerede DFS en lang liste af sårbarheder i OneMains applikationssikkerhedsprogram, cybersikkerhedstræning for medarbejdere og sikkerhedspolitik for tredjepartsleverandører.


Med hensyn til leverandørproblemer stolede OneMain på mindst otte forretningspartnere, der var klassificeret som højrisiko- eller mellemrisiko uden at udføre et passende niveau af due diligence. I flere tilfælde opdagede DFS, at OneMain tillod leverandører at påbegynde arbejdet på trods af risikobaserede beslutninger.


Derudover formåede OneMain ikke at justere risikoscorerne for flere leverandører efter flere cybersikkerhedshændelser forårsaget af disse leverandørers forkerte håndtering af NPI og utilstrækkelige cybersikkerhedskontroller. I stedet for at forbedre sine egne tredjepartsservicepolitikker, afsluttede OneMain simpelthen sit forhold til hver leverandør.


Adrienne A. Harris understregede, at forliget med OneMain fungerer som en demonstration af DFS's forpligtelse til at opretholde 2017-forordningen, især når det kommer til virksomheder, der har adgang til forbrugernes økonomiske data. DFS vil tage alle nødvendige foranstaltninger for at beskytte borgernes data.


Dette forlig fremhæver den kritiske betydning af at opretholde robuste cybersikkerhedsforanstaltninger og sikre overholdelse af regler i den finansielle sektor. Det tjener som en påmindelse til organisationer om at prioritere beskyttelsen af ​​følsomme kundeoplysninger, implementere effektive sikkerhedsprogrammer, udføre grundige revisioner og på passende måde håndtere tredjepartsrisici.


Hændelserne hos OneMain Financial understreger de potentielle konsekvenser af cybersikkerhedsfejl, herunder uautoriseret adgang, databrud og kompromitteret kundetillid. Virksomheder skal løbende vurdere og styrke deres cybersikkerhedspraksis for at mindske risici og sikre fortroligheden, integriteten og tilgængeligheden af ​​følsomme data.


bottom of page