人材、 給与および福利厚生管理会社の Sequoia は、月初の顧客への開示で、同社の Sequoia One 顧客に関連する一連の機密データや個人データを含むクラウド ストレージ リポジトリへの不正アクセスを検出したと述べました。
Sequoia は、9 月 22 日から 10 月 6 日に発生したと述べている侵害によってデータが影響を受けた可能性のある企業顧客と個人の両方に通知しました。 Sequoia の侵害されたクラウド システムには、名前、住所、生年月日、性別、婚姻状況、雇用状況、社会保障番号、勤務先の電子メール アドレス、福利厚生に関連する賃金データ、会員 ID などの一連の機密個人データが保存されていました。個人が雇用システムにアップロードしたその他の ID カード、Covid-19 テスト結果、およびワクチン カード。
「権限のない第三者が、個人情報を含むクラウド ストレージ システムにアクセスした可能性があります」と、同社は顧客および個人の開示に記載しています。 WIRED は、両方の通知の例を確認しました。 「会社が状況を認識するとすぐに、対応計画が開始され、外部の弁護士と協力して Dell Secureworks によるフォレンジック レビューを開始するなど、多くの即時アクションが完了しました。フォレンジック レビューでは、権限のない当事者が悪用または配布されたデータ。」
Sequoia One は、外部委託された人事および給与サービスを提供する「専門雇用主組織」または PEO です。 同社は、報酬、福利厚生、株式などのコアプログラムの管理と裁定のプロセスを合理化するため、スタートアップに人気があります. Sequoia One は米国のスタートアップに人気があり、 言う 現在、500 を超えるベンチャー支援企業と協力しています。
WIRED が Sequoia に、データが公開され、無料の個人情報保護サービスを提供されている人の数を尋ねたところ、通信会社 AMF Media Group の広報担当副社長である Kristin Schaeffer は、会社を代表してコメントすることを拒否しました。 「現時点では、私たちの焦点とコミュニケーションはクライアントとのみです」と彼女は言いました。
開示によると、Dell Secureworks は Sequoia のシステムでマルウェアを検出せず、データの強要を試みた証拠も、Sequoia のインフラストラクチャで侵害されたコンピュータやサーバーも検出せず、会社のシステムへの継続的な不正アクセスの証拠も検出しませんでした。 セコイアは、これまでのところデータの使用または配布を検出していないことを強調しています。
「2022 年 9 月 22 日から 10 月 6 日の間に、クラウド ストレージ システム内の情報への不正アクセスが発生しました」と同社は書いています。 「アクセスは『読み取り専用』であり、許可されていない当事者がクライアント データを変更したという証拠はありません。」
それでも、ハッカーやその自動化されたシステムでさえ、セキュリティで保護されていないクラウド ストレージ システムを見つけてスクレイピングすることはよくあることであり、盗まれたデータが明らかになるまでには時間がかかる可能性があります。
「Sequoia One はスタートアップに非常に人気があります。 私が働いていた最後の 2 つは、それらを使用していました。 「正直なところ、メールで通知を受け取ったときは驚きませんでした。特に Sequoia のせいではありません。時間の問題だとわかるまで、セキュリティ スペースに長くいるだけです。」
Leitschuh 氏によると、3 年後に無料の個人情報盗難監視は終了しますが、彼の社会保障番号やその他の多くの個人情報は変わりません。
「他の人が契約している Sequoia のようなサード パーティでは、エンド ユーザーは仕事をしたい場合、実際にオプトアウトしたり、関係について何かを変更したりすることはできません」と彼は言います。 「しかし、これらの企業がこのデータを長期的にどのように保護しているかはわかりません。」