Snapchat viste seg sist helg å være usedvanlig åpne om et vellykket phishingangrep som rammet selskapet i forrige uke. Selskapets lønningsavdeling mottok en enkelt e-post som tilsynelatende kom fra selskapets toppsjef. Mottakerne av e-posten ble bedt om å oversende de ansatte lønnsinformasjon.
Dette skriver Snapchat i et blogginnlegg.
Mange bedrifter frykter tapt anseelse dersom det blir kjent at de har hatt sikkerhetsbrudd, men mye tyder på at åpenhet om slike angrep kan bidra til både økt velvilje og tillit, i tillegg økte kunnskaper hos andre som kan havne i samme situasjon.
Lønningsinformasjon
Uten å gjenkjenne e-posten som det phishingangrepet den var, sendte de ansatte dermed avgårde lønnsinformasjon om både nåværende og tidligere ansatte til en ekstern mottaker. Det er ikke oppgitt hva denne informasjonen omfattet, men slik som navn, kontonummer og en form for personnummer kan
Snapchat skal siden da ha kontaktet alle de berørte. Samtlige har blitt tilbudt to år med forsikring og overvåkning mot identitetstyveri.
I blogginnlegget understrekes det at ingen brukerdata er berørt av angrepet og den påfølgende lekkasjen. Selve angrepet har blitt anmeldt til FBI.
Snapchat opplyser at selskapet vil intensivere treningsprogrammene rundt personvern og sikkerhet som tilbys de ansatte. Om slike opplæring har noen effekt i praksis, er det delte meninger om. Det er fort gjort å gjøre feil i en stresset hverdag.
Sikkerhetsteknologi
Derimot finnes det teknologi, «Data Loss Prevention» (DLP), som i alle fall på papiret skal kunne beskytte mot slike datalekkasjer. Dette er mange leverandører av slike løsninger, inkludert flere av de tradisjonelle leverandørene av sikkerhetsprodukter.
For e-post tilbys DLP av i alle fall Microsoft, som en premiumfunksjon til Exchange Online og Exchange Server 2013. Google tilbyr lignende funksjonalitet til Google Apps Unlimited-kundene.