Kẻ trộm truy cập vào khoảng 140.000 số an sinh xã hội trong cơ sở dữ liệu của NS Power

Giám đốc điều hành của Nova Scotia Power cho biết có tới 140.000 số an sinh xã hội có thể đã bị đánh cắp bởi những kẻ trộm mạng gần đây đã tấn công vào hồ sơ khách hàng của công ty điện lực.

Peter Gregg cho biết trong một cuộc phỏng vấn vào thứ Năm rằng công ty điện lực tư nhân đã thu thập các số này từ khách hàng để xác thực danh tính của họ.

Gregg nói trong cuộc phỏng vấn tại trụ sở Halifax của công ty con Emera: "Nếu có một số John MacDonald, (số an sinh xã hội) sẽ xác định chúng tôi (công ty điện lực) đang nói chuyện với ai."

Vào ngày 23 tháng 5, Gregg cho biết dữ liệu của khoảng 280.000 khách hàng của Nova Scotia Power đã bị rò rỉ trong một cuộc tấn công ransomware — hơn một nửa tổng số. Khi được hỏi vào thứ Năm có bao nhiêu hồ sơ này chứa các số an sinh xã hội bí mật, chín chữ số, Gregg trả lời, "khoảng một nửa."

Chuyên gia an ninh mạng Claudiu Popa đặt câu hỏi tại sao một công ty điện lực lại cần giữ loại dữ liệu này về khách hàng cho mục đích xác thực khách hàng.

Người sáng lập nhóm phi lợi nhuận KnowledgeFlow cho biết có những cách ít rủi ro hơn để xác định khách hàng có tên tương tự hơn là lưu trữ số an sinh xã hội của họ.

Ông nói trong một cuộc phỏng vấn vào thứ Năm: "Các trang web của chính phủ nêu rõ rằng việc sử dụng một trong những mã định danh bí mật nhất của một người không phải là phương pháp được khuyến nghị để xác định cá nhân."

Trang web của chính phủ liên bang cho biết các số này dành cho các đơn xin việc và hồ sơ chính phủ, và khuyên mọi người không nên chia sẻ chúng trừ khi được pháp luật yêu cầu.

Nó cũng lưu ý rằng những kẻ trộm có thể sử dụng các số này để thực hiện hành vi gian lận, bao gồm cố gắng truy cập các quyền lợi của chính phủ và các khoản hoàn thuế.

Popa nói: "Có vô số cách mà các số này có thể được sử dụng trong gian lận."

Gregg cho biết các số an sinh xã hội không bắt buộc đối với khách hàng của họ và họ đã cung cấp chúng một cách tự nguyện.

Vụ rò rỉ hồ sơ khách hàng lần đầu tiên được báo cáo vào cuối tháng Tư, và công ty sau đó cho biết vụ rò rỉ đầu tiên được phát hiện vào giữa tháng Ba.

Popa đã nói rằng công ty nên cung cấp thông tin chính xác hơn cho từng khách hàng về dữ liệu cá nhân nào đã bị đánh cắp và đưa ra cảnh báo rõ ràng về những thiệt hại tiềm tàng.

Gregg cho biết thêm chi tiết sẽ được cung cấp khi nhân viên IT và các chuyên gia tư vấn an ninh mạng khác tiếp tục làm việc để thu thập thông tin.

Ông nói: "Chúng tôi muốn cẩn thận để nói những gì chúng tôi biết chứ không phải những gì chúng tôi nghĩ."

"Khi chúng tôi đi sâu hơn vào cuộc điều tra và chúng tôi có thể xác nhận các chi tiết, thông tin đó sẽ được chia sẻ với khách hàng của chúng tôi."

Bản tiếng Việt của The Canada Life