Connect with us

La cyber-sécurité

FTC approuve le règlement avec l'agence de voyage qui a exposé la base de données des informations des clients

L'agence a ordonné à SkyMed International de renforcer ses pratiques en matière de sécurité de l'information. La société de services de voyage SkyMed International Inc. a accepté de concevoir, mettre en œuvre et maintenir un plan de sécurité des informations qui, entre autres, comprend au moins le cryptage des données sensibles, la formation annuelle des employés et les contrôles d'accès qui nécessitent une authentification, selon un règlement final que la société a rencontré. avec […]…

Published

on

L'agence a ordonné à SkyMed International de renforcer ses pratiques en matière de sécurité de l'information.

La société de services de voyage SkyMed International Inc. a accepté de concevoir, mettre en œuvre et maintenir un plan de sécurité de l'information qui, entre autres, comprend au moins le cryptage des données sensibles, la formation annuelle des employés et les contrôles d'accès qui nécessitent une authentification, selon un règlement final l'entreprise a rencontré la Federal Trade Commission.

La société «n'a pas pris de mesures raisonnables pour sécuriser les informations personnelles qu'elle a collectées auprès des personnes qui s'étaient inscrites à son plan d'adhésion d'urgence pour les voyages, et par conséquent, la société n'a pas sécurisé une base de données cloud contenant 130 000 enregistrements d'adhésion», a allégué la FTC, selon un communiqué de presse Vendredi. "La base de données non sécurisée contenait les informations personnelles des membres stockées en texte brut, telles que les noms, les dates de naissance, les adresses personnelles, les informations médicales et les numéros de compte d'adhésion."

La Réclamation FTC décrit une série de fausses déclarations faites par SkyMed aux consommateurs avant et après qu'un chercheur en sécurité a alerté l'entreprise sur une base de données cloud d'informations sensibles, y compris des données de santé, que n'importe qui pouvait facilement accéder, modifier, télécharger ou supprimer. Il a également déclaré que la société n'était pas au courant de la base de données.

"Avant que le répondant ne reçoive la notification du chercheur en sécurité, le répondant ne savait pas que la base de données cloud accessible au public existait même, et encore moins qu'elle contenait les informations personnelles des consommateurs stockées en texte brut", indique la plainte.

SkyMed, qui oblige les membres à partager des informations sur la santé telles que les conditions médicales, les ordonnances et les hospitalisations récentes, s'est commercialisé comme sécurisé. La FTC a noté son affichage d'un logo indiquant la conformité avec la loi sur la portabilité et la responsabilité de l'assurance maladie – qui énonce des pratiques raisonnables de sécurité de l'information – sur chaque page de son site Web.

«Le répondant a signalé aux consommateurs qu’une agence gouvernementale ou un autre tiers avait examiné les pratiques d’information du répondant et déterminé qu’elles répondaient aux exigences de la HIPAA», indique la plainte. «En réalité, aucune agence gouvernementale ou autre tiers n’avait examiné les pratiques d’information des répondants pour vérifier leur conformité à la HIPAA, et encore moins déterminé que les pratiques répondaient aux exigences de la HIPAA.»

La société a admis qu'elle n'aurait pas dû afficher le sceau et l'a retiré en avril 2019 après la sensibilisation du chercheur en sécurité, selon la plainte.

La FTC a déclaré que SkyMed avait également trompé ses clients après avoir appris l'existence de la base de données exposée.

Le chercheur en sécurité avait envoyé des captures d'écran de l'entreprise montrant que les informations personnelles étaient exposées en texte brut et avait informé l'entreprise que les champs incluaient les informations de santé sensibles qu'ils avaient collectées.

Mais dans un avis de mai 2019 informant ses clients actuels et anciens de l'incident de sécurité, SkyMed a souligné en gras, qu '"il n'y avait aucune information médicale ou liée au paiement visible et aucune indication que les informations ont été mal utilisées."

«Notre enquête a appris que certaines anciennes données peuvent avoir été exposées temporairement lors de la migration des données d'un ancien système vers un nouveau système», lit-on dans l'avis. "Pour le moment, les données exposées ont été supprimées et semblent être limitées à une partie seulement de nos informations et ont été limitées aux noms, aux adresses e-mail, aux numéros de téléphone et aux numéros de membre."

En vertu du règlement, SkyMed doit désormais renvoyer des avis aux consommateurs révélant l'étendue de la violation. Il doit également demander à une tierce partie de procéder à des évaluations biennales de son nouveau programme complet de sécurité de l'information et de s'abstenir de déformer ses pratiques de sécurité ou ses avenants à l'avenir.

Maintenant que l'ordonnance de consentement est définitive, la FTC note que chaque instance de sa violation peut entraîner une sanction civile pouvant aller jusqu'à 43 280 $.

La source: https://www.nextgov.com/cybersecurity/2021/02/ftc-approves-settlement-travel-company-exposed-database-customers-information/171905/

SkyMed, qui oblige les membres à partager des informations sur la santé telles que les conditions médicales, les ordonnances et les hospitalisations récentes, s'est commercialisé comme sécurisé. La FTC a noté son affichage d'un logo indiquant la conformité avec la loi sur la portabilité et la responsabilité de l'assurance maladie – qui énonce des pratiques raisonnables de sécurité de l'information – sur chaque page de son site Web.

Source: https://newsworthy-news.com/2021/02/06/ftc-approves-settlement-with-travel-company-that-exposed-database-of-customers-information/

La cyber-sécurité

La Corée du Sud et les États-Unis forment un groupe de travail sur la cybersécurité – ET CISO

La Corée du Sud a annoncé vendredi qu'elle lancerait un groupe de travail sur la cybersécurité avec les États-Unis afin de renforcer la coopération contre le piratage informatique….

Published

on

Séoul, la Corée du Sud a annoncé vendredi qu'elle lancerait un groupe de travail sur la cyber-sécurité avec les États-Unis afin de renforcer la coopération contre les attaques de piratage.

Il s'agit d'une mesure de suivi d'un récent accord au sommet entre les dirigeants des alliés – les présidents Moon Jae-in et Joe Biden – pour renforcer le partenariat dans la lutte contre les cybermenaces mondiales.

"Le gouvernement prévoit de renforcer le système de coopération avec les États-Unis en lançant le cyber groupe de travail pour impliquer les autorités compétentes", a déclaré Cheong Wa Dae.

Le bureau présidentiel a informé les résultats d'une réunion interinstitutions de haut niveau pour vérifier la posture de cybersécurité du pays.

La session ordinaire était présidée par Suh Hoon, directeur de la sécurité nationale à Cheong Wa Dae, en présence de vice-ministres de 16 bureaux gouvernementaux. Ils comprennent le Service national de renseignement (NIS), le Ministère des Sciences et des TIC et le Administration du programme d'acquisition de la Défense, rapporte Yonhap nouvelles agence.

Le NIS a déclaré qu'il prévoyait de consolider et d'unifier les systèmes d'alerte aux cyberattaques des secteurs militaire et civil et public.

Suh a cité des rapports constants d'attaques de ransomwares au pays et à l'étranger et a appelé à une réponse approfondie.

"Dans un contexte de dépendance croissante au cyberespace en raison de COVID-19, en particulier, toutes les agences gouvernementales doivent vérifier et répondre de manière préventive aux cybermenaces de forces non spécifiées", a souligné Suh, selon Cheong Wa Dae.

Suivez et connectez-vous avec nous sur Twitter, Facebook

Source: https://ciso.economictimes.indiatimes.com/news/s-korea-us-to-form-working-group-on-cybersecurity/84493098

Continue Reading

La cyber-sécurité

Le décret de Biden renforce les pratiques de cybersécurité du gouvernement

The Legal Intelligencer fournit des informations de dernière minute, des analyses et des tendances avec un accent particulier sur les délits de masse et les litiges pharmaceutiques pour les avocats et les professionnels du droit sur le marché de Pennsylvanie….

Published

on

Le 12 mai, le président Joseph Biden a signé l'edécret exécutif sur l'amélioration de la cybersécurité du pays (l'ordre) à la suite d'incidents de cybersécurité affectant SolarWinds Corp., les serveurs Microsoft Exchange sur site, Colonial Pipelines et JBS. Lors de l'attaque SolarWinds, des pirates informatiques russes ont exploité une mise à jour logicielle de routine pour installer un code malveillant, permettant aux pirates d'infiltrer neuf agences fédérales et environ 100 entreprises. On estime que les vulnérabilités du serveur Microsoft Exchange ont affecté environ 60 000 organisations. L'attaque de ransomware du 6 mai contre Colonial Pipeline a fermé le plus grand oléoduc des États-Unis et perturbé l'approvisionnement en essence et en carburant de la côte est. En juin, JBS, le plus grand transformateur américain de bœuf, de volaille et de porc, a payé une rançon de 11 millions de dollars lors d'une cyberattaque qui a affecté un cinquième de l'approvisionnement en viande du pays.

L'ordonnance décrit plusieurs initiatives qui seront mises en œuvre selon un calendrier rigoureux cette année visant à améliorer les pratiques de cybersécurité du gouvernement fédéral, en particulier en ce qui concerne la chaîne d'approvisionnement des logiciels, et à obliger contractuellement les entrepreneurs gouvernementaux à s'aligner sur ces pratiques de sécurité améliorées. La commande a un impact direct sur les sous-traitants gouvernementaux, y compris les fournisseurs de services cloud et les développeurs de logiciels.

Source: https://www.law.com/thelegalintelligencer/2021/07/12/bidens-executive-order-strengthens-governments-cybersecurity-practices/

Continue Reading

La cyber-sécurité

La Chine élabore un nouveau plan pour l'industrie de la cybersécurité | Nouvelles technologiques | Nouvelles des États-Unis

US News est un leader reconnu dans les classements des collèges, des écoles supérieures, des hôpitaux, des fonds communs de placement et des voitures. Suivez les élus, recherchez les conditions de santé et trouvez des nouvelles que vous pouvez utiliser dans les domaines de la politique, des affaires, de la santé et de l'éducation….

Published

on

SHANGHAI (Reuters) – Le ministère chinois de l'Industrie et des Technologies de l'information a annoncé lundi avoir publié un projet de plan d'action triennal pour développer l'industrie de la cybersécurité du pays, estimant que le secteur pourrait valoir plus de 250 milliards de yuans (38,6 milliards de dollars) d'ici 2023.

Le projet intervient alors que les autorités chinoises intensifient leurs efforts pour rédiger des réglementations visant à mieux régir le stockage des données, le transfert de données et la confidentialité des données personnelles.

Au cours du week-end, la Cyberspace Administration of China a proposé un projet de règles appelant toutes les entreprises technologiques riches en données avec plus d'un million d'utilisateurs à subir des examens de sécurité avant de s'inscrire à l'étranger.

Cette réglementation est intervenue à la suite d'une enquête réglementaire du géant chinois du covoiturage Didi Chuxing pour avoir prétendument enfreint les lois sur la confidentialité des données.

(Reportage par Yilei Sun et Josh Horwitz; Montage par Muralikumar Anantharaman et Kenneth Maxwell)

Caricatures politiques sur les dirigeants mondiaux

Copyright 2021 Thomson Reuters.

Source: https://www.usnews.com/news/technology/articles/2021-07-11/china-drafts-new-cyber-security-industry-plan

Continue Reading

Trending