Naruszenie prywatności klientów: Pracownik CFPB wysyłał poufne dane na swoją prywatną skrzynkę e-mail
Pracownik Biura Ochrony Finansów Konsumentów (Consumer Financial Protection Bureau, CFPB)
przesłał poufne dane dotyczące setek tysięcy kont klientów na swoją prywatną skrzynkę e-mail,
poinformowało biuro w rozmowie z CNN w czwartek.
Około 14 e-maili zawierało dane osobowe klientów, tzw. PII (personally identifiable information).
Pracownik przesłał również dwie tabele zawierające imiona oraz numery kont specyficzne dla
transakcji, dotyczące około 256 000 kont klientów w jednej instytucji.
“Numery te są używane wewnętrznie przez instytucję, nie są to numery kont bankowych klientów i
nie można ich użyć do uzyskania dostępu do konta klienta” – przekazało CFPB.
The Wall Street Journal jako pierwsze poinformowało o incydencie w środę.
CFPB podejmuje działania w celu oceny ryzyka dla klientów po nieautoryzowanym udostępnieniu danych
Dodatkowo, agencja poinformowała, że “zidentyfikowała informacje PII dotyczące klientów 7
instytucji” i nadal pracuje nad “określeniem wrażliwości danych PII oraz oceną ryzyka szkody dla
konsumentów”.
Pracownik, który wysłał te e-maile, nie jest już zatrudniony w agencji, a jego dostęp do korporacyjnej
sieci został zablokowany. CFPB przekazało również, że nie ma dowodów na to, że poufne dane zostały
przesłane poza prywatny e-mail pracownika.
Chociaż pracownik został poproszony o usunięcie e-maili i dostarczenie dowodów, nie wykazał
współpracy. O zdarzeniu poinformowało Biuro Inspektora Generalnego.
Federalni ustawodawcy i agencje rządowe powiadomione o incydencie związanym z danymi osobowymi
O incydencie poinformowano również federalnych ustawodawców oraz agencje rządowe, w tym
Departament Bezpieczeństwa Krajowego.
“Nieautoryzowane przekazanie danych osobowych i poufnych jest absolutnie nie do zaakceptowania.
Wszyscy pracownicy CFPB są szkoleni z zakresu swoich obowiązków wynikających z przepisów Biura i
prawa federalnego w zakresie ochrony poufnych lub osobistych informacji” – oświadczyła agencja w
rozmowie z CNN.
Oprócz danych osobowych wymienionych w dwóch arkuszach, PII dotyczące innych instytucji są
“znacznie mniejsze” – poinformowało CFPB.
Dane na pewno bezpieczne?
Przykłady obejmują informacje o “jednej instytucji, gdzie CFPB zidentyfikowało dołączenie 2 numerów
kont bez podawania nazwisk, do kolejnej, w której CFPB zidentyfikowało około 140 numerów
kredytów, z których około 100 zawierało również zanonimizowane informacje dotyczące kredytu lub
kredytobiorcy, takie jak dochody, wynik kredytowy i informacje demograficzne (bez podawania
nazwisk).”
CFPB zostało utworzone po kryzysie finansowym w 2008 roku jako część ustawy o reformie Wall
Street i ochronie konsumentów Dodd-Frank.
W ubiegłym miesiącu Sąd Najwyższy Stanów Zjednoczonych postanowił rozważyć sprawę dotyczącą
konstytucyjności finansowania agencji, z przesłuchaniem sprawy zaplanowanym na jesień i
prawdopodobnym wydaniem decyzji w przyszłym roku.
Źródło:
CFPB says employee sent confidential data of 256,000 consumers to personal email | CNN Business