USA:s finansiella tillsynsmyndighet rapporterar cyberattack som avslöjar känslig e-postdata

USA:s finansdepartements enhet för valutakontroll (OCC) avslöjade på tisdagen att ett dataintrång i februari exponerade känsliga data relaterade till finansiella enheter. Incidenten, som innefattade obehörig åtkomst till e-postkonton tillhörande OCC:s chefer och personal, har åtgärdats, och finansinspektören har släppt ytterligare detaljer om sårbarheten.

I ett officiellt tillkännagivande, förklarade OCC—myndigheten som övervakar och reglerar banker i landet—att den, som krävs enligt Federal Information Security Modernization Act, har rapporterat en ”större informationssäkerhetsincident” till kongressen.

OCC förklarade att den den 11 februari fick reda på obehörig åtkomst från e-post och e-postbilagor och, efter att ha bekräftat obehöriga interaktioner den 12 februari, omedelbart aktiverade säkerhetsprotokoll, inaktiverade de komprometterade kontona och avslutade den obehöriga åtkomsten.

Utredningen som utförts av OCC och oberoende tredjepartsexperter inom cybersäkerhet visade att illvilliga aktörer fått tillgång till anställdas och chefsers e-post med ”mycket känslig information som rör den ekonomiska situationen för federalt reglerade finansinstitut.”

Myndigheten rapporterade först händelsen med e-postsystemet den 26 februari till Cybersecurity and Infrastructure Security Agency, och klargjorde att det inte hade någon inverkan på finanssektorn. Hotet har avvärjts, men utvärderingar och uppdateringar pågår.

”Jag har vidtagit omedelbara åtgärder för att fastställa omfattningen av intrånget och rätta till de långvariga organisatoriska och strukturella bristerna som bidrog till denna händelse,” sa tillförordnade valutakontrollanten Rodney E. Hood. ”Det kommer att finnas fullt ansvar för de identifierade sårbarheterna och eventuella missade interna fynd som ledde till obehörig åtkomst.”

OCC analyserar för närvarande sina IT-säkerhetspolicyer och rutiner, och letar efter alternativ för att förhindra liknande händelser och förbättra säkerheten.

Flera cyberattacker riktade mot e-postanvändare och system har rapporterats denna månad. För några dagar sedan avslöjade cybersäkerhetsföretaget Symantec en phishing-kampanj som använde falska frakt-e-postmeddelanden och en maskerad skärmsläckarfil, och ASEC identifierade en annan cyberattack riktad mot arbetssökande.