Een Amerikaanse effectenmakelaar die klantgegevens onvoldoende beveiligde, waardoor Letse hackers uiteindelijk de informatie van 192.000 klanten buitmaakten, is veroordeeld tot een boete van 275.000 euro. Volgens FIRA, de Amerikaanse Autoriteit Financiële Markten, had Davidson & Co geen adequate beveiligingsmaatregelen getroffen om de beveiliging en vertrouwelijkheid van klantgegevens en opgeslagen informatie te beschermen. Het ging onder andere om accountnummers, social security nummers, namen, adressen, geboortedata en andere vertrouwelijke gegevens. Verder was de informatie in de database niet versleuteld en was er geen wachtwoord ingesteld. Daardoor kon iedereen via een leeg wachtwoord inloggen.
Op 25 en 26 december 2007 wisten hackers via een SQL-injectie aanval de database van Davidson & Co te stelen. De aanval was zichtbaar in de webserver logs, maar het bedrijf controleerde die niet. Tussen april 2006 en oktober 2007 huurde het bedrijf verschillende security consultants en auditors in om de netwerkbeveiliging te controleren. Davidson & Co ontving verschillende aanbevelingen, waarvan het de meeste opvolgde. Het advies om een intrusion detection systeem te installeren, zoals voorgesteld in april 2006, werd niet opgevolgd.
Afpersing
Het lek kwam pas aan het licht toen het bedrijf op 16 januari 2008 door één van de hackers werd afgeperst. Na het ontvangen van de dreiging deed Davidson & Co aangifte en schakelde het de Secret Service in. Uiteindelijk ontdekte de Amerikaanse geheime dienst dat de aanval het werk van vier Letten was, waarvan er inmiddels drie zijn uitgeleverd. Bij het opstellen van de boete hield FINRA rekening met de snelle reactie van het bedrijf na de dreigmail en het feit dat de klantgegevens nog niet misbruikt zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.