Die Humanressourcen, Das Lohn- und Gehaltsabrechnungs- und Leistungsverwaltungsunternehmen Sequoia sagte Anfang des Monats in Offenlegungen gegenüber Kunden, dass es einen unbefugten Zugriff auf ein Cloud-Speicher-Repository entdeckt habe, das eine Reihe sensibler und persönlicher Daten im Zusammenhang mit den Sequoia One-Kunden des Unternehmens enthielt.
Sequoia benachrichtigte sowohl seine Firmenkunden als auch die einzelnen Personen, deren Daten möglicherweise von der Verletzung betroffen waren, die nach Angaben des Unternehmens zwischen dem 22. September und dem 6. Oktober stattfand. Das Unternehmen bietet Opfern drei Jahre lang kostenlose Experian-Identitätsschutzdienste an. Das angegriffene Cloud-System von Sequoia speicherte eine Reihe sensibler personenbezogener Daten, darunter Namen, Adressen, Geburtsdaten, Geschlecht, Familienstand, Beschäftigungsstatus, Sozialversicherungsnummern, geschäftliche E-Mail-Adressen, Lohndaten im Zusammenhang mit Leistungen und Mitglieds-IDs sowie alle anderen andere ID-Karten, Covid-19-Testergebnisse und Impfkarten, die Einzelpersonen in das Beschäftigungssystem hochgeladen haben.
„Ein Unbefugter hat möglicherweise auf ein Cloud-Speichersystem zugegriffen, das persönliche Informationen enthielt“, schrieb das Unternehmen in den Kunden- und Einzelangaben. WIRED hat Beispiele für beide Benachrichtigungen überprüft. „Sobald das Unternehmen auf die Situation aufmerksam wurde, wurde ein Reaktionsplan eingeleitet und eine Reihe von Sofortmaßnahmen durchgeführt, einschließlich der Zusammenarbeit mit externen Anwälten, um eine forensische Überprüfung durch Dell Secureworks einzuleiten … Die forensische Überprüfung ergab keine Beweise dafür, dass die nicht autorisierte Partei missbrauchte oder verbreitete Daten.“
Sequoia One ist eine „professionelle Arbeitgeberorganisation“ oder PEO, die ausgelagerte Personal- und Gehaltsabrechnungsdienste anbietet. Das Unternehmen ist bei Start-ups beliebt, weil es den Prozess der Verwaltung und Beurteilung von Kernprogrammen wie Vergütung, Leistungen und Eigenkapital rationalisiert. Sequoia One ist beliebt bei US-Startups und sagt Es arbeitet derzeit mit mehr als 500 Venture-Backed-Unternehmen zusammen.
Als WIRED Sequoia fragte, wie vielen Personen ihre Daten offengelegt wurden und denen kostenlose Identitätsschutzdienste angeboten wurden, lehnte Kristin Schaeffer, Vizepräsidentin für Öffentlichkeitsarbeit bei der Kommunikationsfirma AMF Media Group, eine Stellungnahme im Namen des Unternehmens ab. „Derzeit konzentrieren wir uns und unsere Kommunikation nur auf unsere Kunden“, sagte sie.
Die Offenlegungen besagen, dass Dell Secureworks keine Malware auf den Systemen von Sequoia gefunden hat, keine Beweise für einen Datenerpressungsversuch gesehen hat, keine kompromittierten Computer oder Server in der Infrastruktur von Sequoia gefunden hat und keine Beweise für einen anhaltenden unbefugten Zugriff auf die Systeme des Unternehmens gesehen hat. Sequoia betont, bisher keine Nutzung oder Verbreitung der Daten festgestellt zu haben.
„Zwischen dem 22. September und dem 6. Oktober 2022 fand ein unbefugter Zugriff auf Informationen in einem Cloud-Speichersystem statt“, schrieb das Unternehmen. „Der Zugriff war ‚schreibgeschützt‘, und es gibt keine Hinweise darauf, dass der Unbefugte Kundendaten geändert hat.“
Dennoch ist es üblich, dass Hacker oder sogar ihre automatisierten Systeme ungesicherte Cloud-Speichersysteme finden und kratzen, und es kann einige Zeit dauern, bis gestohlene Daten an die Oberfläche kommen.
„Sequoia One ist bei Startups sehr beliebt; die letzten beiden, für die ich gearbeitet habe, haben sie verwendet“, sagt der Open-Source-Sicherheitsforscher Jonathan Leitschuh, der diese Woche darüber informiert wurde, dass seine Daten bei der Verletzung kompromittiert wurden. „Ich war ehrlich gesagt nicht überrascht, als ich die Benachrichtigung per Post erhielt, nicht speziell wegen Sequoia, ich war nur lange genug im Sicherheitsbereich, um zu wissen, dass es nur eine Frage der Zeit ist.“
Leitschuh merkt an, dass die kostenlose Identitätsdiebstahlüberwachung nach drei Jahren endet, seine Sozialversicherungsnummer und viele andere persönliche Daten jedoch unverändert bleiben.
„Bei Drittanbietern wie Sequoia, mit denen andere einen Vertrag abschließen, kann sich der Endbenutzer nicht wirklich abmelden oder etwas an der Beziehung ändern, wenn er den Job haben möchte“, sagt er. „Aber Sie wissen nicht, wie diese Unternehmen diese Daten langfristig verteidigen.“