被指控的人从房屋抵押贷款公司Countrywide窃取客户数据可能是由于公司IT部门的疏忽,才将数据下载并保存到外部驱动器中。
上周五,美国国家金融服务公司(Countrywide)前高级金融分析师雷内·雷博洛(Rene Rebollo)因涉嫌窃取客户数据并将其出售而被捕数据泄漏防护产品)。
美国联邦调查局的证词显示,雷博洛告诉特工,他知道办公室里的大多数电脑都有一个安全功能,可以禁止使用u盘。然而,他发现有一台电脑没有这个功能。
文件显示,雷博洛每周(通常是在周日)都会根据买家的要求收集客户姓名,并使用办公室里的那台电脑将它们下载到他的个人u盘上。例如,Rebollo可能会专门收集最近拒绝Countrywide贷款的人的名字。
根据这份宣誓书,雷博洛估计,在两年的时间里,他每周下载了大约2万份客户档案,并以500美元的价格出售了包含这么多名字的文件。这些资料包括社会安全号码和其他人的联系方式。他通常会使用Kinko复印店和商务中心商店的电脑,用Excel电子表格把数据发送给买家。
美国国家金融服务公司的所有者美国银行(Bank of America)没有回应有关该公司为防止此类盗窃而采用何种安全措施的要求。根据上周联邦调查局的一份声明,Countrywide表示,它正在分析被盗数据,以确定是否有客户身份被泄露。根据联邦调查局的声明,该公司说,如果有,它将通知客户。
虽然目前还不清楚Countrywide采用了哪种安全措施来禁止u盘的使用,但它可能会使用一种包括在所有计算机上的代理的软件,it管理员可以设置该代理来控制计算机上每个端口的使用方式。销售这类软件的Lumension Security公司的董事长兼首席执行官帕特·克劳森(Pat Clawson)说,这类产品可以让管理员设定规则,允许特定员工访问特定端口,或者设定规则,定义哪些类型的文件可以复制到特定端口。如果Countrywide使用的是这种方法,它的管理员可能意外地没有在雷博洛发现的计算机上安装代理程序。
但这种脆弱性是可以避免的,克劳森说。公司应该制定政策,要求任何接入网络的设备都要接受检查。“无论该设备是笔记本电脑还是掌上电脑,在允许他们接入网络之前,都必须经过某种扫描过程,以确定他们是否拥有所有必要的材料。很明显,这里没有发生这种事,”他说。
克劳森指出,许多处理敏感数据的公司也有执行加密规则的系统,防止大多数员工复制敏感数据。
克劳森说,一些组织采取了更为“严厉”的方法来防止这类盗窃。他说,有一段时间,许多美国政府机构用热熔胶把USB端口填满,并把塑料螺丝塞进麦克风,以阻止它们进入。
联邦调查局通过与保密证人合作,收集了一些据称被雷博洛窃取的客户数据。这些证人同意从雷博洛的客户之一瓦希德•西迪奇(Wahid Siddiqi)那里购买数据。西迪奇也于上周被捕。目击者随后将这些数据交给了联邦调查局特工。Countrywide将FBI提供的这些号码与它自己的内部电子表格进行了比对,确认这些名字来自于它的客户,并与准确的社会安全号码进行了配对。
雷博洛估计,在两年的时间里,他通过这项活动赚到了5万到7万美元。文件显示,他在Countrywide的年薪为6.5万美元。
据证词显示,雷博洛最初与联邦调查局特工合作,向他们描述了自己的行为,并愿意给他们一台家用电脑和一个u盘。但他后来似乎改变了主意。在与特工会面几天后,雷博洛的律师告诉联邦调查局,他已经决定撤销对搜查硬盘和电脑的同意。
雷博洛如果被判有罪,将面临最高5年的联邦监禁。上周,他交了8万美元的保释金,但至少从证词来看,他似乎还没有准备好放弃自己的活动。FBI特工表示,与雷博洛交谈六天后,当他描述自己如何窃取和出售数据时,他打电话给一名证人,要求向他出售更多Countrywide客户的名字。