Los recursos humanos, La empresa de gestión de nóminas y beneficios Sequoia dijo en divulgaciones a los clientes a principios de mes que detectó un acceso no autorizado a un depósito de almacenamiento en la nube que contenía una serie de datos confidenciales y personales relacionados con los clientes Sequoia One de la empresa.
Sequoia notificó tanto a sus clientes corporativos como a las personas individuales cuyos datos pueden haber sido afectados por la violación, que según la compañía ocurrió entre el 22 de septiembre y el 6 de octubre. La compañía ofrece a las víctimas tres años de servicios gratuitos de protección de identidad de Experian. El sistema en la nube violado de Sequoia almacenó una serie de datos personales confidenciales, incluidos nombres, direcciones, fechas de nacimiento, género, estado civil, situación laboral, números de seguro social, direcciones de correo electrónico del trabajo, datos de salarios relacionados con los beneficios e identificaciones de miembros, así como cualquier otras tarjetas de identificación, resultados de pruebas de Covid-19 y tarjetas de vacunas que las personas cargaron en el sistema de empleo.
“Una parte no autorizada puede haber accedido a un sistema de almacenamiento en la nube que contenía información personal”, escribió la compañía en las divulgaciones de clientes e individuales. WIRED revisó ejemplos de ambas notificaciones. “Tan pronto como la Compañía se dio cuenta de la situación, se inició un plan de respuesta y se completaron una serie de acciones inmediatas, incluido trabajar con un abogado externo para iniciar una revisión forense por parte de Dell Secureworks… La revisión forense no encontró evidencia de que la parte no autorizada datos mal utilizados o distribuidos”.
Sequoia One es una “organización de empleadores profesionales”, o PEO, que proporciona servicios de nómina y recursos humanos subcontratados. La empresa es popular entre las nuevas empresas porque agiliza el proceso de gestión y adjudicación de programas básicos como compensación, beneficios y equidad. Sequoia One es popular entre las nuevas empresas estadounidenses y dice que actualmente trabaja con más de 500 empresas respaldadas por empresas.
Cuando WIRED le preguntó a Sequoia a cuántas personas se les expusieron sus datos y se les ofrecen servicios gratuitos de protección de identidad, Kristin Schaeffer, vicepresidenta de relaciones públicas de la empresa de comunicaciones AMF Media Group, se negó a comentar en nombre de la empresa. “En este momento, nuestro enfoque y comunicación es solo con nuestros clientes”, dijo.
Las revelaciones dicen que Dell Secureworks no encontró malware en los sistemas de Sequoia, no vio evidencia de un intento de extorsión de datos, no encontró computadoras o servidores comprometidos en la infraestructura de Sequoia y no vio evidencia de acceso no autorizado continuo a los sistemas de la empresa. Sequoia enfatiza que no ha detectado ningún uso o distribución de los datos hasta el momento.
“El acceso no autorizado a la información en un sistema de almacenamiento en la nube ocurrió entre el 22 de septiembre y el 6 de octubre de 2022”, escribió la compañía. «El acceso fue de ‘solo lectura’ y no hay evidencia de que la parte no autorizada haya cambiado los datos del cliente».
Aún así, es común que los piratas informáticos o incluso sus sistemas automatizados encuentren y extraigan sistemas de almacenamiento en la nube no seguros, y los datos robados pueden tardar en aparecer.
“Sequoia One es muy popular entre las nuevas empresas; los dos últimos para los que trabajé los usaron”, dice el investigador de seguridad de código abierto Jonathan Leitschuh, a quien se le notificó esta semana que sus datos se vieron comprometidos en la filtración. «Honestamente, no me sorprendió cuando recibí la notificación por correo, no por Sequoia específicamente, solo he estado en el espacio de seguridad el tiempo suficiente para saber que es solo cuestión de tiempo».
Leitschuh señala que después de tres años, el monitoreo gratuito de robo de identidad terminará, pero su número de Seguro Social y muchos otros datos personales seguirán siendo los mismos.
“Con terceros como Sequoia con los que otros contratan, el usuario final realmente no puede optar por no participar o cambiar nada de la relación si quiere el trabajo”, dice. «Pero no sabes cómo estas empresas defienden estos datos a largo plazo».