Un empleado de Absa acusado de filtrar algunos de los datos de los clientes sudafricanos del banco a terceros proporcionó la información, que incluía números de identificación de clientes, números de cuentas bancarias, números de tarjetas de crédito y números de teléfonos móviles, a varios terceros a cambio del pago.

En respuesta a las preguntas de TechCentral el martes, el banco dijo que la información compartida específicamente no incluye contraseñas ni códigos PIN. Sin embargo, Absa dijo que le preocupa que los estafadores aún puedan intentar aprovechar la situación.

PERSONA ENTERADAORO

Suscríbase para obtener acceso completo a todas nuestras herramientas de datos compartidos y de confianza unitaria, nuestros artículos premiados y respalde el periodismo de calidad en el proceso.

Absa dijo en un comunicado el lunes por la noche que el empleado, a quien no ha nombrado, “puso ilegalmente datos seleccionados de clientes a disposición de un pequeño número de partes externas”. Ha presentado cargos penales contra el empleado.

“Los datos filtrados se refieren a una pequeña parte de la base de clientes de Absa Sudáfrica, aunque las investigaciones continúan”.

Cuando descubrió la infracción, el banco obtuvo órdenes de la corte superior que permitían operaciones de búsqueda e incautación en varios locales y aseguró “todos los dispositivos” que contienen los datos filtrados.

Las preguntas de TechCentral a Absa y las respuestas del banco se encuentran a continuación en su totalidad.

¿Qué información específica del cliente se filtró?
Los tipos de datos que se compartieron incluyen, por ejemplo, nombres y apellidos, números de identidad, direcciones físicas, números de cuentas bancarias y / o tarjetas de crédito, números de contactos móviles y detalles del vehículo. Los datos que se compartieron no incluyen contraseñas ni códigos PIN. En algunos casos fueron, por ejemplo, los números de identificación y los números de teléfono de algunos clientes los que se compartieron; en otros casos, fueron los detalles de financiamiento del vehículo, etc. Entonces, fue una mezcla.

¿Cuántos registros de clientes se filtraron?
No hemos completado la investigación, por lo que no queremos proporcionar un número definitivo en esta etapa. Lo que podemos confirmar es que, hasta ahora, solo una fracción de los clientes de Absa en Sudáfrica se han visto afectados por la fuga.

Dado que Absa dijo que ha mejorado el monitoreo de las cuentas de los clientes afectados, ¿significa esto que a Absa le preocupa que la información filtrada pueda usarse para comprometer las cuentas? ¿Si es así, cómo?
Los datos por sí solos no brindan a terceros acceso directo al dinero en las cuentas de los clientes. Los pines y las contraseñas no se compartieron como parte de la filtración. Sin embargo, los estafadores siempre están buscando oportunidades.

¿Cuál fue el motivo del empleado que filtró esta información? ¿Se proporcionó la información a terceros a cambio de una recompensa económica?
Al menos en algunos casos, es evidente que los datos seleccionados se vendieron a terceros.

¿Qué sabe Absa sobre los terceros que recibieron la información? ¿Cuántos terceros hay? ¿Y se cree que son actores maliciosos?
En esta etapa, es un puñado de partes externas, pero podremos proporcionar un número definitivo solo una vez que nuestras investigaciones se hayan completado.

Hemos tomado medidas legales relacionadas con las partes que recibieron datos y aún podemos tomar medidas adicionales. Por lo tanto, no sería apropiado compartir la identidad o los datos de las empresas o personas involucradas en esta etapa, ya que puede comprometer el éxito de las vías legales que se ejercerán.

¿Cuándo descubrió Absa por primera vez la filtración y qué la llevó a acudir a los tribunales?
El 26 de octubre se envió un informe de denuncia a la oficina principal de seguridad. Si nos hubiéramos comunicado con los clientes de inmediato, es posible que hubiéramos puesto en peligro las operaciones de búsqueda e incautación en el proceso, ya que existía el riesgo de que las partes involucradas se dieran cuenta de que teníamos conocimiento del problema.

Absa se acercó al tribunal para determinar la naturaleza de los datos compartidos y los destinatarios y para obtener órdenes de operaciones de búsqueda e incautación. Las órdenes judiciales permitieron el registro autorizado de locales y dispositivos de las partes que adquirieron ilegalmente los datos, que posteriormente destruimos.

¿A qué reguladores ha informado Absa la fuga y cuál ha sido la respuesta de esos reguladores hasta la fecha?
Absa informó del asunto al Regulador de Información, la Autoridad Prudencial y la Autoridad de Conducta del Sector Financiero. Estamos cooperando plenamente con estos reguladores. No sería apropiado que Absa comentara su respuesta.

¿Qué reglas, procesos o sistemas puede implementar Absa para prevenir este tipo de incidentes en el futuro?
Absa se toma muy en serio la protección de los datos personales y ha tomado medidas proactivas para mitigar el riesgo de que los datos de los clientes se utilicen de forma indebida, además de tomar medidas para abordar los procesos internos que permitieron al empleado compartir los datos.

Hemos revisado nuestros controles y procesos, a la luz de esta filtración, para fortalecer aún más nuestras defensas y reducir el riesgo de que un incidente como este vuelva a ocurrir. – (c) 2020 NewsCentral Media

Duncan McLeod es editor de TechCentral.

Este artículo se publicó por primera vez en TechCentral, aquí.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí