OneMain金融集团是一家专门向“非优质”信用记录者发放贷款的信贷机构。由于在政府调查中被发现存在网络安全过失,OneMain可能面临纽约州开出的425万美元(约合人民币3008万元)罚单。
纽约州金融服务署(DFS)在5月25日的声明中表示,“OneMain未能有效管理第三方服务供应商的风险、管理访问权限和维护正式的应用程序安全开发方法,大大增加了公司遭受网络安全事件影响的脆弱性。”
纽约州金融服务署调查发现,OneMain公司允许本地管理用户共享账户,并允许这些账户使用新员工入职时分配的默认密码。其他记录在案的失误,还包括应用程序安全问题。
纽约州金融服务署指出,“OneMain使用内部开发的非正式项目管理框架,未能妥善保护软件开发生命周期中的某些关键性阶段。”
尽管制定了面向第三方供应商的风险评级政策,但OneMain并未对第三方供应商做出正确评估。
“即使在供应商对非公开信息处理不当和网络安全控制不力而引发多起网络安全事件之后,OneMain仍然未能适当调整几家供应商的风险评分。”
OneMaine公司回应称,公司“早已解决”调查中发现的问题,具体来说是对2017年至2020年初的政策进行审查。
该公司强调,“网络安全是一个不断发展的领域,我们希望顺应当前行业的最佳实践并与监管机构开展合作,继续专注提高应对未来潜在风险的能力。”
OneMain在2023年第一季度收入为10.9亿美元。该公司专门帮助可能无法从其他信贷机构获得贷款的客户。
纽约州金融服务署和州检察长办公室一直积极寻求州内企业的网络安全案件和解,近期案例包括保险公司EyeMed与零售商SHEIN的母公司在2022年遭遇的网络安全事件。仅在本周,检察长办公室就因数据保护失误对一家体育服务器零售商和一家医疗管理公司处以罚款。
参考资料:therecord.media
来源:安全内参