Как нейните “системни” провали избухнаха на една онлайн среща

Джон Смит* току-що се беше преместил в Сидни след повече от десетилетие в чужбина, когато срещна някого онлайн миналото лято. Използвайки приложението за запознанства Grindr, той започна да разговаря с човек на име Тан Даниел Лий.

Лий беше в изолация срещу COVID по това време, така че те разговаряха онлайн няколко седмици, преди да се срещнат в Съри Хилс в Сидни за първа среща – японска вечеря, последвана от сладолед Месина.

Датата щеше да бъде една от многото – във връзка, която се разви бързо, преди да вземе тъмен обрат, когато Смит започна да подозира, че Лий следи банковите му сметки.

възрастта И на The Sydney Morning Herald Може да разкрие, че една от най-големите финансови компании в света, American Express, не само ще отхвърли първоначалната жалба на Смит без подходящо разследване, но ще предостави подвеждаща информация по време на външно разследване.

Среща с Тан Даниел Лий (вляво) ще започне разследване на “системни” проблеми в American Express.

Това идва след като две големи регистрирани на ASX компании – Optus и Medibank – разкриха чувствителна идентификационна и здравна информация на престъпниците и започнаха национален разговор за това как най-добре да се справят с възникващите киберзаплахи.

Експерти по киберсигурност казват, че „вътрешната заплаха“ е значителен риск и неуспехът на комисаря по поверителността да накаже компании, които нарушават закона, е създал култура на безнаказаност сред австралийския бизнес.

— Защото какво е убежището? казва Найджъл Фиър, бивш детектив от австралийската федерална полиция, превърнал се в кибер експерт. “Компаниите просто не управляват необходимите рискове. Тонът започва от върха.”

Луксозни хотели и ексклузивни клубове

Първото впечатление на Смит от Лий беше, че той имаше искряща усмивка и връзката се разви бързо.

Лий е работил като мениджър за връзки с Centurion на American Express, изключителният клуб за притежатели на черни карти, които обикновено харчат половин милион долара годишно.

Смит вече имаше карта Platinum American Express от Live in the States, но Лий предложи да се регистрира в Австралия, за да може да му покаже как да се възползва максимално от предимствата.

Той се съгласи и скоро започна да използва American Express като основна банкова карта. Но скоро заподозря, че Лий следи сделките му, след поредица от коментари за артикули, които Смит е закупил, места, които е посетил, или плащания, които е направил.

Смит пише в жалба, която по-късно подава в American Express.

Смит живее с аутизъм и въпреки че е класифициран като “високо функциониращ”, понякога му е трудно да разпознае неподходящо поведение. Той забеляза “предупредителни знаци” за Лий, но ги пренебрегна, казва той, и пътува до Хавай и остров Хамилтън с новия си партньор.

При едно такова пътуване Смит се чувства неудобно от начина, по който Лий обсъжда делата на клиента си, включително големия дистрибутор на храни Primo Foods, който според него е прехвърлил милиони долари на Каймановите острови. В по-късно текстово съобщение той ми каза: „За ваша информация всичко, което ви казвам за работата, е строго секретно“.

До април той се опита да прекъсне връзката и каза, че е предупредил Лий, че ще докладва за поведението му на American Express.

На това Лий не реагира добре. Смит каза, че моли да продължи връзката и в един момент внезапно се обади на най-добрата приятелка на Смит, за да я помоли да разубеди Смит да подаде жалба.

Това беше последната капка. Беше решен да ми докладва.

Amex казва „Без неправомерен достъп“

Приблизително по същото време друг служител на American Express беше предупреден за необичайна дейност в акаунта на Смит. Това предизвика вътрешно разследване на Лий, което бързо го изчисти от всякакви неправомерни действия.

Компанията писа на Смит на 26 май, твърдейки, че Лий не е в роля, в която би било необходимо да има достъп до акаунта му, и във всеки случай е имало обучение и процеси за защита на информацията за клиентите.

„Ние сме уверени, че не е имало неправомерен достъп до сметката ви с Platinum Charge карта“, пишат от компанията.

Неубеден, Смит поиска от American Express да гарантира, че на Лий е отказан достъп до неговия акаунт и докладва за дискусиите около Primo Foods. Следващата седмица, по време на телефонно обаждане, Смит каза, че му е казано, че ако погледна сметката му, няма да е голяма работа, защото те са партньори и че обсъждането на клиенти на Centurion също не е причина за безпокойство.

Джон Смит не беше убеден от твърденията на Amex.

Джон Смит не беше убеден от твърденията на Amex.приписват му:Джейсън Юг

Смит отнесе жалбата до Комисаря по поверителността, който отнесе въпроса до Австралийския орган за финансови жалби. Незабавно AFCA поиска среща с American Express, за да потвърди, че Лий вече няма достъп до акаунта на Смит.

Реакцията на компанията беше бърза, а по-късно се оказа грешна. Потвърждаваме, че служителят няма достъп до него [Smith]- отговори Амекс.

В писма между AFCA, Smith и American Express през следващите няколко месеца компанията продължи да посочва, че няма неподходящ достъп или нарушение на законите за поверителност.

Докато историята се промени. През август – три месеца след като нередовната дейност на Лий беше открита за първи път – Смит беше информиран, че American Express е установила, че Лий всъщност е получил достъп до личната му информация. Записите за цифров достъп разкриват, че Лий е разглеждал личния акаунт на Смит в девет отделни случая между февруари и април тази година.

Зареждане

Тогава American Express каза, че е невъзможно да се попречи на Лий да получи достъп до акаунта, но той ще бъде дисциплиниран и акаунтът ще бъде наблюдаван, за да се гарантира, че няма повече прониквания.

„American Express на практика не е в състояние да ограничи възможността на служителите на American Express да имат достъп до каквито и да е данни на картодържателя“, пише компанията в писмо.

„Ние го признаваме [Smith] Той се чувства неудобно от достъпа на бившия си партньор до личната му информация и положи всички усилия да приложи контрол за допълнителна защита на данните му.”

В окончателно решение, издадено този месец, AFCA установи, че American Express е нарушил законите за поверителност, като е позволил на Лий да има достъп до акаунтите си без разрешение преди и след връзката. Той присъди на Смит 2000 долара обезщетение, но не нареди извинение и изчисти компанията от всякакви неправомерни действия.

AFC установи, че „удовлетворен съм, че финансовата фирма е разследвала въпросите, повдигнати от жалбоподателя, и при тези обстоятелства е реагирала по подходящ начин“.

American Express отказа да отговори на конкретни въпроси относно стъпките, които е предприела за разследване на жалбата на Смит или действията, предприети срещу Лий, но каза, че поддържа „най-високите нива на почтеност“ и е сътрудничила на AFC.

„Въпреки че решиха срещу нас, те заключиха, че American Express е разследвала и е реагирала по подходящ начин“, казаха от компанията. Убедени сме, че това не представлява заплаха за целостта на нашите системи. Защитата на поверителността на нашите клиенти и целостта на нашите системи остава наш основен приоритет.”

Зареждане

Според действащите закони компанията може да бъде глобена до 2,2 милиона долара за всеки неоторизиран достъп. Федералното правителство обмисля увеличаване на санкцията до 50 милиона долара за нарушение, което означава, че American Express може да бъде изправен пред санкции за деветте нарушения на обща стойност 450 милиона долара.

„Компаниите трябва да се отнасят по-сериозно към този проблем около неупълномощения достъп до информация, тъй като санкциите са значителни“, казва Дейвид Пач, експерт по право за поверителност в CyberCX. „Но в действителност комисарят по поверителността не е налагал тези глоби в миналото.“

През октомври на Смит беше съобщено, че екипът за систематични случаи на AFC се е съгласил да разследва American Express относно обработката на случая на Смит. Този екип проучва сериозни нарушения и системни проблеми и може да отнесе въпросите до други регулатори, като например комисаря по поверителността, но има малка прозрачност в неговите констатации. AFC не можа да коментира дали обещаното разследване наистина ще се проведе.

— Спрете ги веднага.

Професорът по киберсигурност на UNSW Найджъл Феър казва, че „вътрешната заплаха“ е основна грижа за бизнеса, тъй като действията на служители-измамници могат да подкопаят сигурността на цялата организация.

Зареждане

„Едно от три пробиви на данни е от злонамерен или безразсъден човек, което е огромно количество“, казва Файър. „Компанията може да не го хване веднага, но когато го направи, трябва да може да го спре веднага.“

Той каза, че неспособността на властите да наложат значителни санкции на компании, които злоупотребяват с данните на своите клиенти, създава култура на безнаказаност сред австралийските компании.

Разочароващо е, особено когато правителството казва, че ще увеличим санкциите. Защо първо не започнете да използвате наказанията, които сте получили? “

Що се отнася до Смит, той се чувства разочарован от American Express и системата, предназначена да държи корпорациите отговорни. В наши дни той се грижи да използва картата само по начини, които не разкриват местоположението му. „Той все още има достъп“, каза той. „Той може да погледне акаунта ми и да види къде съм в реално време.“

Lee и Primo Foods не отговориха на искания за коментар.

* Не е истинското му име. Той поиска самоличността му да бъде запазена в тайна.

Бюлетинът Morning Edition е нашето ръководство за най-интересните ежедневни истории, анализи и прозрения. Регистрирайте се тук.