美國抵押貸巨頭遭網絡攻擊：泄露超1400萬人的敏感個人信息

在一次新的網絡安全事件中，總部位于德克薩斯州科佩爾的抵押貸款和貸款巨頭庫珀先生成為網絡攻擊的最新受害者，該攻擊可能已經泄露了超過1400萬人的敏感個人信息，影響了當前和以前的客戶。

該公司在向州和聯邦監管機構發出的數據泄露通知中披露，該事件最初被認為影響了 430 萬現有客戶將其覆蓋范圍擴大到另外1000萬過去客戶。

情況的嚴重性促使該公司向緬因州總檢察長提交了數據泄露通知，其中披露的數據泄露總數達到驚人的14690284個人可能會受到影響，其中59917人是緬因州居民。

數據泄露事件于2023年11月初曝光，當時Cooper先生宣布該公司已于2023年10月30日成為網絡攻擊的受害者。次日發現的泄露事件促使該公司采取迅速而果斷的行動，關閉了所有IT系統。這包括暫時關閉在線支付門戶，這是客戶用來管理貸款和抵押貸款支付的重要平臺。

該公司目前正在積極調查違規程度，并已開始通知受影響的個人。據稱，泄露的數據包括敏感的個人信息，例如姓名、電子郵件地址和個人標識符以及社會安全號碼(SSN)，這引發了人們對受影響客戶潛在的濫用和身份盜竊影響的擔憂。

不過，庫珀先生向客戶保證，公司正在努力加強網絡安全措施，以防止未來出現任何違規行為。同時，鼓勵受影響的個人保持警惕，監控其財務賬戶，并采取必要的預防措施來保護其個人信息。

在評論中，Symmetry Systems數據安全首席傳播者Claude Mandy強調了組織在數據保留方面面臨的挑戰由于法律要求和商業愿望。盡管希望使用數據進行分析和重新吸引客戶，但數據通常保持不變，從而導致影響當前和過去客戶的違規行為。

“不幸的是，許多組織在數據保留方面陷入進退兩難的境地。各種法律和立法機構要求組織將記錄保留7年以上，但他們也希望吸引過去的客戶重新加入，并計劃利用它來開發未來的分析見解。事實上，這些數據只是原封不動地躺在原處，通常遠遠超出了其實際的保留政策。無論出于何種原因，違規行為不僅影響當前客戶，還影響以前的客戶，這種情況并不罕見。“

Mandy強調主動數據管理的重要性，并引用了Symmetry Systems幫助財富100強組織刪除25%的云資產而不影響業務的示例。此外，他指出，庫珀先生的違規事件中沒有信用卡號碼，這可能表明使用外包支付提供商對信用卡信息進行標記以增強安全性。

“越來越多的客戶在我們以數據為中心的監控的幫助下，識別并主動刪除超出其保留生命周期的數據，并以與以下方式相稱的方式進一步減少對敏感數據的訪問：其實際用途和靈敏度。在一個示例中，我們幫助一家財富100強組織在Google Cloud上刪除了超過25%的云資產，例如項目、身份和生產數據，而沒有任何業務影響。“

“鑒于Cooper先生不向其客戶提供信用卡服務，而且抵押貸款公司通常會限制，因此違規通知中缺少信用卡號碼的情況并不特別引人注目。信用卡支付抵押貸款。對于其他這樣做的組織來說，這可能表明他們正在利用外包支付提供商對信用卡號進行令牌化（即用令牌替換）來保護它們。“

宣布Cooper先生數據泄露事件的幾天前，總部位于美國伊利諾伊州奧克布魯克的牙科保險公司Delta Dental透露，它曾經歷過一次數據泄露影響了700萬客戶。

盡管如此，我們仍敦促受影響的個人警惕 網絡釣魚電子郵件 ，這些電子郵件可能會謊稱來自該公司，并聲稱提供新的更新。然而，實際動機可能是利用這種情況并試圖竊取用戶數據。