Connect with us

Cyber ​​Security

FTC approva la transazione con la compagnia di viaggio che ha esposto il database delle informazioni dei clienti

L'agenzia ha ordinato a SkyMed International di rafforzare le sue pratiche di sicurezza delle informazioni. La società di servizi di viaggio SkyMed International Inc. ha accettato di progettare, implementare e mantenere un piano di sicurezza delle informazioni che, tra le altre cose, includa almeno la crittografia dei dati sensibili, la formazione annuale dei dipendenti e i controlli di accesso che richiedono l'autenticazione, secondo un accordo finale raggiunto dalla società con […]…

Published

on

L'agenzia ha ordinato a SkyMed International di rafforzare le sue pratiche di sicurezza delle informazioni.

La società di servizi di viaggio SkyMed International Inc. ha accettato di progettare, implementare e mantenere un piano di sicurezza delle informazioni che, tra le altre cose, includa almeno la crittografia dei dati sensibili, la formazione annuale dei dipendenti e i controlli di accesso che richiedono l'autenticazione, secondo un sistemazione finale l'azienda ha incontrato la Federal Trade Commission.

La società "non è riuscita a impiegare misure ragionevoli per proteggere le informazioni personali raccolte da persone che si erano iscritte al suo piano di iscrizione di emergenza di viaggio e, di conseguenza, la società ha lasciato non protetto un database cloud contenente 130.000 record di iscrizione", ha affermato la FTC, secondo a comunicato stampa Venerdì. "Il database non protetto conteneva le informazioni personali dei membri memorizzate in testo normale come nomi, date di nascita, indirizzi di casa, informazioni sanitarie e numeri di account di appartenenza."

Il Reclamo FTC descrive una serie di false dichiarazioni fatte da SkyMed ai consumatori prima e dopo che un ricercatore di sicurezza ha avvisato l'azienda di un database cloud di informazioni sensibili, inclusi dati sanitari, che chiunque potrebbe facilmente accedere, alterare, scaricare o eliminare. Ha anche detto che la società non era a conoscenza del database.

"Prima che l'intervistato ricevesse la notifica del ricercatore sulla sicurezza, l'intervistato non aveva idea nemmeno che il database cloud accessibile pubblicamente esistesse, per non parlare del fatto che conteneva le informazioni personali dei consumatori archiviate in testo normale", si legge nel reclamo.

SkyMed, che richiede ai membri di condividere informazioni sanitarie come condizioni mediche, prescrizioni e ricoveri recenti, si è commercializzato come sicuro. La FTC ha notato la visualizzazione di un logo che connota la conformità con l'Health Insurance Portability and Accountability Act, che enuncia pratiche ragionevoli per la sicurezza delle informazioni, su ogni pagina del suo sito web.

"Il convenuto ha segnalato ai consumatori che un'agenzia governativa o un'altra terza parte aveva esaminato le pratiche informative del convenuto e ha stabilito che soddisfacevano i requisiti dell'HIPAA", si legge nel reclamo. "In realtà, nessun ente governativo o altra terza parte aveva esaminato le pratiche informative degli intervistati per la conformità con HIPAA, per non parlare della determinazione che le pratiche soddisfacevano i requisiti dell'HIPAA".

La società ha ammesso che non avrebbe dovuto mostrare il sigillo e lo ha rimosso nell'aprile 2019 dopo il contatto del ricercatore sulla sicurezza, secondo la denuncia.

La FTC ha affermato che SkyMed ha anche ingannato i suoi clienti dopo aver appreso del database esposto.

Il ricercatore sulla sicurezza aveva inviato all'azienda screenshot che mostravano che le informazioni personali erano esposte in testo normale e aveva informato l'azienda che i campi includevano le informazioni sanitarie sensibili che avevano raccolto.

Ma in un avviso del maggio 2019 che informava i suoi attuali ed ex clienti dell'incidente di sicurezza, SkyMed ha sottolineato in grassetto che "non erano visibili informazioni mediche o relative ai pagamenti e nessuna indicazione che le informazioni siano state utilizzate in modo improprio".

"La nostra indagine ha appreso che alcuni vecchi dati potrebbero essere stati temporaneamente esposti durante la migrazione dei dati da un vecchio sistema a un nuovo sistema", si legge nell'avviso. "In questo momento, i dati esposti sono stati rimossi e sembrano essere limitati solo a una parte delle nostre informazioni ed erano limitati a nomi, indirizzi e-mail, numeri di telefono e ID di iscrizione".

In base all'accordo, SkyMed deve ora inviare nuovamente gli avvisi ai consumatori che rivelano l'entità della violazione. Deve inoltre fare in modo che una terza parte conduca valutazioni biennali del suo nuovo programma completo di sicurezza delle informazioni e si astenga dal travisare le sue pratiche di sicurezza o le sue approvazioni in futuro.

Ora che l'ordine di consenso è definitivo, la FTC rileva che ogni istanza della sua violazione può comportare una sanzione civile fino a $ 43.280.

Fonte: https://www.nextgov.com/cybersecurity/2021/02/ftc-approves-settlement-travel-company-exposed-database-customers-information/171905/

SkyMed, che richiede ai membri di condividere informazioni sanitarie come condizioni mediche, prescrizioni e ricoveri recenti, si è commercializzato come sicuro. La FTC ha notato la visualizzazione di un logo che connota la conformità con l'Health Insurance Portability and Accountability Act, che enuncia pratiche ragionevoli per la sicurezza delle informazioni, su ogni pagina del suo sito web.

Source: https://newsworthy-news.com/2021/02/06/ftc-approves-settlement-with-travel-company-that-exposed-database-of-customers-information/

Cyber ​​Security

Corea del Sud, Stati Uniti per formare un gruppo di lavoro sulla sicurezza informatica – ET CISO

La Corea del Sud ha dichiarato venerdì che lancerà un gruppo di lavoro sulla sicurezza informatica con gli Stati Uniti al fine di rafforzare la cooperazione contro l'hacking a……

Published

on

Seoul, Corea del Sud, ha detto venerdì che lancerà un gruppo di lavoro su sicurezza informatica con gli Stati Uniti al fine di rafforzare la cooperazione contro gli attacchi di hacking.

È una misura per dare seguito a un recente accordo al vertice tra i leader degli alleati – i presidenti Moon Jae-in e Joe Biden – per rafforzare la partnership nel contrastare le minacce informatiche globali.

"Il governo prevede di rafforzare il sistema cooperativo con gli Stati Uniti lanciando il gruppo di lavoro informatico per coinvolgere le autorità competenti", ha affermato Cheong Wa Dae.

L'ufficio presidenziale stava informando sui risultati di una riunione interagenzia ad alto livello per verificare la posizione della sicurezza informatica della nazione.

La seduta ordinaria è stata presieduta da Suh Hoon, direttore della sicurezza nazionale a Cheong Wa Dae, alla presenza dei vice funzionari ministeriali di 16 uffici governativi. Includono il Servizio di intelligence nazionale (NIS), il Ministero della Scienza e dell'ICT e il Amministrazione del programma di acquisizione della difesa, riferisce Yonhap notizia agenzia.

Il NIS ha affermato che prevede di consolidare e unificare i sistemi di allarme per gli attacchi informatici dei settori militare, civile e pubblico.

Suh ha citato continue segnalazioni di attacchi ransomware in patria e all'estero e ha chiesto una risposta approfondita.

"Nel mezzo della crescente dipendenza dal cyberspazio a causa di COVID-19, in particolare, tutte le agenzie governative devono controllare e rispondere preventivamente alle minacce informatiche da parte di forze non specificate", ha sottolineato Suh, secondo Cheong Wa Dae.

Seguici e connettiti con noi su Twitter, Facebook

Source: https://ciso.economictimes.indiatimes.com/news/s-korea-us-to-form-working-group-on-cybersecurity/84493098

Continue Reading

Cyber ​​Security

L'ordine esecutivo di Biden rafforza le pratiche di sicurezza informatica del governo

The Legal Intelligencer fornisce ultime notizie, analisi e tendenze con particolare enfasi su illeciti di massa e contenziosi farmaceutici per avvocati e professionisti legali nel mercato della Pennsylvania…

Published

on

Il 12 maggio, il presidente Joseph Biden ha firmato l'eordine esecutivo sul miglioramento della sicurezza informatica della nazione (l'ordine) a seguito di incidenti di sicurezza informatica che hanno colpito SolarWinds Corp., Microsoft Exchange Server locali, Colonial Pipelines e JBS. Nell'attacco a SolarWinds, gli hacker russi hanno sfruttato un aggiornamento software di routine per installare codice dannoso, consentendo agli hacker di infiltrarsi in nove agenzie federali e circa 100 aziende. Si stima che le vulnerabilità del server di Microsoft Exchange abbiano colpito circa 60.000 organizzazioni. L'attacco ransomware del 6 maggio a Colonial Pipeline ha bloccato il più grande oleodotto degli Stati Uniti e interrotto le forniture di benzina e carburante alla costa orientale. A giugno, JBS, il più grande trasformatore americano di carne bovina, pollame e suina, ha pagato 11 milioni di dollari di riscatto in un attacco informatico che ha colpito un quinto della fornitura di carne della nazione.

L'ordine delinea diverse iniziative che saranno lanciate in un calendario aggressivo quest'anno volte a migliorare le pratiche di sicurezza informatica del governo federale, in particolare per quanto riguarda la catena di fornitura del software, e ad obbligare contrattualmente gli appaltatori del governo ad allinearsi a tali pratiche di sicurezza avanzate. L'ordine ha un impatto diretto sugli appaltatori governativi, inclusi i fornitori di servizi cloud e gli sviluppatori di software.

Source: https://www.law.com/thelegalintelligencer/2021/07/12/bidens-executive-order-strengthens-governments-cybersecurity-practices/

Continue Reading

Cyber ​​Security

La Cina redige un nuovo piano per l'industria della sicurezza informatica | Notizie sulla tecnologia | Notizie dagli Stati Uniti

US News è un leader riconosciuto nelle classifiche di college, scuole di specializzazione, ospedali, fondi comuni e auto. Tieni traccia dei funzionari eletti, ricerca le condizioni di salute e trova notizie che puoi utilizzare in politica, affari, salute e istruzione….

Published

on

SHANGHAI (Reuters) – Il ministero dell'Industria e della tecnologia dell'informazione cinese ha dichiarato lunedì di aver pubblicato una bozza di piano d'azione triennale per sviluppare l'industria della sicurezza informatica del Paese, stimando che il settore potrebbe valere più di 250 miliardi di yuan (38,6 miliardi di dollari) entro 2023.

La bozza arriva mentre le autorità cinesi intensificano gli sforzi per redigere regolamenti per governare meglio l'archiviazione dei dati, il trasferimento dei dati e la privacy dei dati personali.

Durante il fine settimana, la Cyberspace Administration of China ha proposto una bozza di regole che invitano tutte le aziende tecnologiche ricche di dati con oltre 1 milione di utenti a sottoporsi a revisioni di sicurezza prima di essere quotate all'estero.

Tale regolamento è arrivato sulla scia di un'indagine normativa del gigante cinese che chiamava Didi Chuxing per presunta violazione delle leggi sulla privacy dei dati.

(Segnalazione di Yilei Sun e Josh Horwitz; montaggio di Muralikumar Anantharaman e Kenneth Maxwell)

Cartoni politici sui leader mondiali

Copyright 2021 Thomson Reuters.

Source: https://www.usnews.com/news/technology/articles/2021-07-11/china-drafts-new-cyber-security-industry-plan

Continue Reading

Trending