IOTW：华盛顿州对黑客欺诈的审计在黑客成立之初就遭到了损害

超过140万华盛顿州公民的个人身份信息（PII）在一次网络攻击中受到破坏，这进一步加剧了本已凌乱的失业申请的惨败。 2020年6月，由于欺诈性的失业要求，华盛顿州的就业安全局（ESD）被估计骗取了6.5亿美元。
经过长时间的调查，许多合法的华盛顿人在等待数周的失业救济，违规行为与尼日利亚的犯罪团伙有关。该组织的昵称是“分散的金丝雀”，它使用被盗的PII在全国范围内提出了数千个虚假的失业要求。 大约九个月后的2月1日，华盛顿州审计师帕特·麦卡锡（Pat McCarthy）发表了一份关于12月数据泄露的声明，其中披露了社会安全号码，驾驶执照号码，银行信息和工作地点。
超过140万华盛顿人在1月1日至12月10日之间提交失业救济申请的人受到影响。有了这些信息，邪恶的行动者就有可能将失业支票重新发送到欺诈性账户中。
建议可能受到影响的华盛顿人关闭账户并开设一个新账户。具有讽刺意味的是，该违规行为发生在对6月事件的审核期间。 ESD坚持认为，这一新的违规行为（在面对春季违规行为的批评之后）不对这一事件负责。
相反，责任应该归咎于Accellion，这是审计师办公室使用的第三方文件传输软件。 。 相关：p最终供应商风险评估清单 Accellion的首席营销官Joel York表示反对，认为审计师办公室使用的软件是他们的遗留产品之一，并且建议客户停止使用该软件。 Accellion的新产品kiteworks已经取代了它，并且具有更好的能力来抵抗网络威胁。
麦卡锡（McCarthy）声称，该州一直在为过时的软件FTA支付月租费，这使她不得不假设产品是安全的。她否认收到任何需要更换该软件的警告。 Accellion发布了有关12月违规的更新声明，其中部分内容为：“所有FTA客户都将在2020年12月23日立即收到有关攻击的通知。
此时，Accelion已修补了攻击者利用的所有已知FTA漏洞，并且已经添加了新的监视和警报功能，以标记与这些攻击媒介有关的异常。” ESD事件体现了当今网络威胁形势下的多个漏洞。黑客的目标是COVID-19所需要的新的和/或超载的系统，包括医疗保健，远程学习/工作程序和征税的政府系统。
相关：p 7安全供应商合作伙伴的关键特征 此外，网络安全专家经常指出第三方软件是组织的常见漏洞。使用外部软件时，企业将受供应商网络安全的支配。企业还应承担起在动荡的时期错过的安全警报，更新和补丁的责任。
第三方风险管理（TPRM）是在关系的整个生命周期中清晰地了解供应商活动的过程。管理TPRM值得花费时间和金钱。 2020年，Ponemon Institute报告称，超过53％的组织至少经历了一次第三方造成的数据泄露。
此类泄露的平均修复成本为750万美元。 AT＆T网络安全建议了这五个技巧来补救第三方供应商关系固有的风险，总结如下： 阅读更多：本周突发事件。