La empresa de administración de nóminas y beneficios Sequoia dice que los piratas informáticos accedieron a información confidencial de los clientes, incluidos sus números de Seguro Social y los resultados de las pruebas de COVID-19.
Según Wired, que fue el primero en dar la noticia de la filtración de datos de Sequoia la semana pasada, el incidente afectó a los clientes de Sequoia One, una organización profesional de empleadores (o PEO, por sus siglas en inglés) que proporciona servicios de nómina y recursos humanos subcontratados. El servicio es popular entre las nuevas empresas con sede en EE. UU. y dice que funciona con más de 500 empresas respaldadas por empresas.
Ahora, en un aviso de violación de datos presentado ante la oficina del fiscal general de California, Sequoia dijo que se dio cuenta de que una “parte no autorizada pudo haber accedido a un sistema de almacenamiento en la nube que contenía información personal” durante un período de dos semanas entre el 22 de septiembre y el 6 de octubre. Este sistema en la nube violado almacenó una serie de datos personales confidenciales, incluidos nombres, domicilios, fechas de nacimiento, sexo, estado civil y situación laboral. También incluyó números de Seguro Social, su salario relacionado con beneficios, tarjetas de identidad del gobierno y resultados de pruebas de COVID-19 y tarjetas de vacunas.
Sequoia agregó que la revisión tampoco encontró evidencia de malware, un intento de extorsión de datos o cualquier evidencia de acceso no autorizado continuo a los sistemas de la empresa. Debido a que el acceso del pirata informático era de “solo lectura”, la empresa dijo que no se había cambiado ningún dato del cliente.
Sequoia dijo que contrató a Dell Secureworks para realizar una investigación forense, que no encontró “evidencia de que la parte no autorizada haya hecho un uso indebido o distribuido de los datos”. No está claro si Sequoia tiene los medios técnicos, como registros, para determinar a qué información se accedió o qué datos se desviaron, si los hubiere.
Cuando TechCrunch le preguntó, Sequoia se negó a decir cómo se expusieron los datos del cliente y no dijo cuántas personas tenían sus datos personales comprometidos.
Lea más sobre seguridad:
