La società finanziaria Lincoln National Corporation ha rivelato la scorsa settimana che una vulnerabilità nel portfolio del suo sistema informativo potrebbe aver compromesso i dati degli account di circa 1,2 milioni di clienti. Ciò che ha dell’incredibile però sono le cause della vulnerabilità: i dipendenti della finanziaria e di società affiliate usavano username e password condivise per accedere al portfolio.
Il pericolo è stata segnalato lo scorso agosto all’Authority per le Aziende Finanziarie (la FINRA) da una lettera che conteneva come prova una username e una password al sistema di gestione del portfolio. Dopo ulteriori indagini, la Lincoln ha scoperto che un’altra sua sussidiaria, la Lincoln Financial Advisers, utilizzava credenziali condivise per accedere al portfolio. La compagnia ha scoperto un totale di sei password e username condivise, create addirittura nel 2002.
Il team forense che ha investigato sulla falla non ha trovato prove che i dati siano stati utilizzati fuori dalla Lincoln, né da hacker o da ex dipendenti. Secondo la finanziaria, il sistema di gestione del portfolio aggiorna i dati degli account dei clienti, e perciò contiene molte informazioni sensibili, ma non permette all’utente di accedere a quegli account.
La Lincoln ha dichiarato di aver azzerato tutti gli username e password nei suoi sistemi, e sta comunicando ai clienti interessati dalla vulnerabilità, offrendo loro i servizi contro il furto di identità.
