Databreuk by kredietburo: Beleggers en polishouers gewaarsku

Argieffoto (Foto: Alexander Stein/Pixabay)

Die Inligtingsreguleerder het Saterdag met verteenwoordigers van TransUnion vergader ná kuberkrakers die afgelope week op die kredietburo toegeslaan het.

Maroela Media het berig die kuberkrakers het toegang tot die buro se bediener verkry deur ʼn gemagtigde kliënt se besonderhede te misbruik.

TransUnion spesialiseer in kredietverslagdoening vir mense wêreldwyd en het in ʼn verklaring bevestig dat TransUnion Suid-Afrika deur die aanval geteiken is. “Ons glo die voorval het ʼn uitwerking op ʼn geïsoleerde bediener wat beperkte data van ons Suid-Afrikaanse tak bevat,” het die maatskappy gesê.

Nomzamo Zondi, woordvoerder van die Inligtingsreguleerder, sê die Wet op die Beskerming van Persoonlike Inligting, wat deur die reguleerder afgedwing word, vereis dat alle privaat of openbare organisasies wat enige sekuriteitsbreuk ervaar het, om die reguleerder en alle betrokke partye van die voorval in kennis te stel.

“Tydens die vergadering tussen die uitvoerende hoof van TransUnion Suid-Afrika en die Reguleerder, het die reguleerder sy verwagtinge aangedui wat betref kennisgewing aan die betrokke persone wie se data hierdeur geraak is,” sê Zondi. “Die reguleerder het dit benadruk dat die betrokke persone so vinnig as moontlik in kennis gestel moet word indien hul dataveiligheid op enige manier geraak is, sodat hulle voorsorgmaatreëls kan tref teen die misbruik van hul persoonlike inligting.”

TransUnion moet teen Dinsdag, 22 Maart 2022, onder andere spesifieke besonderhede aan die Inligtingsreguleerder verskaf rondom die getal persone wat deur die kuberkrakery geraak is, asook hul plan hoe om die betrokke persone in kennis te stel.

Die Inligtingsreguleerder sal daarvolgens verder kan ondersoek instel. Die Inligtingsreguleerder kan die maatskappy ʼn boete van tot R10 miljoen oplê indien ʼn ondersoek bevind dat daar gebreke in die kredietburo se veiligheidstelsels is.

Beleggers en polishouers gewaarsku

Intussen het die Vereniging vir Spaar en Beleggings in Suid-Afrika (Asisa) polishouers en beleggers gewaarsku om ʼn toename in pogings tot internetbedrog te verwag met misdadigers wat hulself voordoen as verteenwoordigers van lewensversekeraars of beleggingsmaatskappye.

Johann van Tonder, senior beleidsraadgewer by Asisa, sê aangesien ʼn aantal Asisa-lede van TransUnion gebruik maak vir kredietverifikasiedienste, is daar ʼn groot moontlikheid dat die gekompromitteerde inligting persoonlike besonderhede insluit van Suid-Afrikaanse polishouers en beleggers.

“Alhoewel dit wil voorkom dat die inligting, waartoe die kuberkrakers toegang bekom het, slegs beperk is tot name, kontakbesonderhede en ID-nommers, is ons besorg dat dit deur misdadigers gebruik kan word om gebruikers om die bos te lei en wagwoorde te deel.”

Van Tonder wys daarop dat geen maatskappy ooit ʼn kliënt sal versoek om wagwoorde of PIN-kodes telefonies, via teksboodskap of e-pos te deel nie. Hy sê maatskappy sal ook nooit versoek dat kliënte by hul rekeninge moet inteken deur ongemagtigde boodskappe nie.

Van Tonder sê die finansiële bedryf is baie bewus van die risiko’s van deurlopende kuberveiligheid-bedreigings.

Asisa het gevolglik ʼn kuberveiligheid-reaksiespan (CSIRT) aangestel met die doel om lidmaatskappye te help om bedreigings tot hul kuberveiligheid te bestry. Die CSIRT van Asisa is een van slegs drie reaksiespanne in die finansiële bedryf. Nog een van die drie is die Suid-Afrikaanse Bankrisiko-inligtingsentrum (Sabric). Asisa en Sabric het verlede jaar ʼn memorandum van verstandhouding onderteken om saam te werk teen finansiële- en kubermisdade.

Van Tonder sê samewerking in die bedryf in die stryd teen kubermisdaad is noodsaaklik. “Asisa werk dus nou saam met Sabric om die volle impak van die TransUnion-databreuk vir Suid-Afrikaanse gebruikers te bepaal.”