Sikkerhedsovervågning kan have aktiveret landsdækkende overtrædelse

Manden anklaget for at stjæle kundeoplysninger fra hjemmet pant långiver Landsdækkende kunne sandsynligvis downloade og gemme dataene til et eksternt drev på grund af et tilsyn fra virksomhedens it-afdeling.

På fredag ​​blev Rene Rebollo, en tidligere senior finansanalytiker på Countrywide, anholdt for hans påståede rolle i at stjæle kundedata og sælge den.

US Federal Bureau of Investigation affidavits viser, at Rebollo fortalte særlige agenter, at han vidste, at de fleste computere på kontoret havde en sikkerhedsfunktion, der deaktiverede brugen af ​​et tommelfingerdrev. Han opdagede dog, at en computer ikke havde denne funktion.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Rebollo vil hver uge, hver især på søndag, indsamle kundenavne efter anmodning af hans købere og downloade dem på hans personlige tavle med den ene computer på kontoret, ifølge dokumenterne. Rebollo kunne specifikt indsamle navne på personer, der for nylig afviste et tilbud på et lån fra Countrywide.

I løbet af en toårig periode estimerede Rebollo, at han downloadede ca. 20.000 kundeprofiler hver uge og solgte filer med så mange navne til USA $ 500, i henhold til affidavit. Profilerne omfattede Social Security numre og andre kontaktoplysninger om folket. Han ville typisk e-maile dataene i Excel-regneark til sine købere, ofte ved hjælp af computere hos Kinkos kopi og forretningscenter.

Countrywide's ejer, Bank of America, har ikke svaret på en anmodning om oplysninger om den type sikkerhed det beskæftiger sig med at forhindre denne type tyveri. Ifølge en udtalelse fra FBI i sidste uge sagde Countrywide, at det analyserer de stjålne data for at afgøre, om nogen kundeidentiteter er blevet kompromitteret. Hvis de har, sagde selskabet, at det vil underrette kunderne i henhold til FBI-erklæringen.

Selvom det ikke er klart, hvilken type sikkerhed, som Countrywide beskæftiger sig med, deaktiverer brugen af ​​tommelfingerdrev, kan det bruge software, der indeholder en agent på alle computere, som it-administratorer kan indstille til at kontrollere, hvordan hver port på computeren kan bruges. Sådanne produkter kan give administratorer mulighed for at indstille regler, der tillader bestemte medarbejdere at få adgang til bestemte havne eller fastsætte regler, der definerer hvilke typer filer der kan kopieres til bestemte havne, siger Pat Clawson, formand og administrerende direktør for Lumension Security, et firma, der sælger sådan software. Hvis dette er metoden Landsdækkende brug, kan dets administratorer tilfældigt ikke have installeret agenten på den computer, Rebollo opdagede.

Men sådan type sårbarhed kan undgås, sagde Clawson. Virksomheder bør have politikker, der kræver en enhed, der berører netværket, der skal kontrolleres. "Uanset om den pågældende enhed er en bærbar eller en håndholdt, skal den gennemgå en form for scanningsproces for at finde ud af, om de har alle de nødvendige materialer, før de giver dem adgang til netværket. Det er klart, at der ikke skete her, "sagde han.

Mange virksomheder, der håndterer følsomme data, har også systemer, der håndhæver krypteringsregler og forhindrer de fleste arbejdstagere i at kopiere følsomme data, bemærker Clawson.

Nogle organisationer har søgt langt mere" drakoniske "metoder for at forhindre Denne type tyveri, sagde Clawson. For en tid fyldte mange amerikanske regeringsorganer USB-porte med varm lim og kørte plastikskruer i mikrofoner for at forhindre adgang til dem, sagde han.

FBI indsamlede nogle af de kundedata, der angiveligt blev stjålet af Rebollo, ved at arbejde med fortrolige vidner, der aftalte at købe data fra en af ​​Rebollos kunder, Wahid Siddiqi, som også blev anholdt i sidste uge. Vidnerne vendte derefter dataene til FBI-agenterne. Landsdækkende matchede de tal, der blev leveret af FBI med egne interne regneark, hvilket bekræfter, at navne var fra sine kunder og var parret med nøjagtige Social Security-numre.

Om to år regnede Rebollo med at tjene $ 50.000 til $ 70.000 på aktiviteten. Hans landsdækkende løn var $ 65.000 pr. År, ifølge dokumenterne.

Rebollo samarbejdede oprindeligt med FBI-agenter, beskrev hans handlinger for dem og gav dem villigt en af ​​sine hjemmecomputere og et tommelfingerdrev ifølge bekendtgørelsen. Men han syntes senere at have ændret sig. Nogle dage efter hans møde med agenterne fortalte Rebollos advokat FBI, at han havde besluttet at tilbagekalde hans samtykke til at søge på drevet og computeren.

Rebollo, der står over for fem år i føderalt fængsel, hvis han er dømt, var frigivet på en $ 80.000-obligation i sidste uge, selvom han ikke ser sig klar til at opgive sine aktiviteter, i det mindste i henhold til beføjelserne. FBI-agenter sagde, at seks dage efter at de talte med Rebollo, da han beskrev, hvordan han stjal og solgte dataene, kaldte han et vidneudbud til at sælge ham flere landsdækkende kundenavne.