因網絡安全管理不當,這家信貸公司被罰超3000萬元
責編:gltian |2023-05-30 14:03:26OneMain金融集團是一家專門向“非優質”信用記錄者發放貸款的信貸機構。由于在政府調查中被發現存在網絡安全過失,OneMain可能面臨紐約州開出的425萬美元(約合人民幣3008萬元)罰單。
紐約州金融服務署(DFS)在5月25日的聲明中表示,“OneMain未能有效管理第三方服務供應商的風險、管理訪問權限和維護正式的應用程序安全開發方法,大大增加了公司遭受網絡安全事件影響的脆弱性。”
紐約州金融服務署調查發現,OneMain公司允許本地管理用戶共享賬戶,并允許這些賬戶使用新員工入職時分配的默認密碼。其他記錄在案的失誤,還包括應用程序安全問題。
紐約州金融服務署指出,“OneMain使用內部開發的非正式項目管理框架,未能妥善保護軟件開發生命周期中的某些關鍵性階段。”
盡管制定了面向第三方供應商的風險評級政策,但OneMain并未對第三方供應商做出正確評估。
“即使在供應商對非公開信息處理不當和網絡安全控制不力而引發多起網絡安全事件之后,OneMain仍然未能適當調整幾家供應商的風險評分。”
OneMaine公司回應稱,公司“早已解決”調查中發現的問題,具體來說是對2017年至2020年初的政策進行審查。
該公司強調,“網絡安全是一個不斷發展的領域,我們希望順應當前行業的最佳實踐并與監管機構開展合作,繼續專注提高應對未來潛在風險的能力。”
OneMain在2023年第一季度收入為10.9億美元。該公司專門幫助可能無法從其他信貸機構獲得貸款的客戶。
紐約州金融服務署和州檢察長辦公室一直積極尋求州內企業的網絡安全案件和解,近期案例包括保險公司EyeMed與零售商SHEIN的母公司在2022年遭遇的網絡安全事件。僅在本周,檢察長辦公室就因數據保護失誤對一家體育服務器零售商和一家醫療管理公司處以罰款。
參考資料:therecord.media
來源:安全內參