Ett godkänt säkerhetsprov av en banks datorsystem hade några oväntade konsekvenser i veckan, vilket ledde den federala myndigheten som övervakar amerikanska kreditföreningar för att utfärda en bedrägeribekännelse.
På tisdag varnade National Credit Union Administration (NCUA) alla federalt försäkrade kreditföreningar med ett falskt brev som en unnamed credit union hade fått tillsammans med två cd-skivor. I det falska brevet hävdades att CD-skivorna innehöll NCUA-material mot bedrägeribekämpning, men i sin bedrägeribekännelse varnade NCUA att att köra cd-skivorna "skulle kunna leda till ett eventuellt säkerhetsbrott i ditt datorsystem eller ha andra negativa konsekvenser".
Endast det visade sig att cd-skivorna inte skickades av bedrägerier. De skickades av anställda i MicroSolved, ett Columbus, Ohio, säkerhetsprovningsföretag. "Det var en del av en del samhällsteknik vi gjorde i ett helt sanktionerat penetrationstest", säger MicroSolved VD Brent Huston i ett e-postmeddelande.
[Läs vidare: Så här tar du bort skadlig kod från din Windows-dator]Företag som MicroSolved är rutinmässigt anställda för att självständigt testa säkerheten hos företag och myndigheter.
Penetrationstestare använder ofta så kallade samhällsteknikstekniker som en del av deras säkerhetsbedömningsarbete. Med socialteknik låter angriparen vara en legitim partner eller medarbetare för att lura anställda för att kompromissa med sina datorsystem eller avslöja känslig information. "Socialteknik övningar är en del av de flesta av våra bedömningar", säger Huston.
NCUA-talesman John McKechnie hade inte mycket att säga om organisationens varning. I ett kort e-mail torsdag skrev han "vid denna tid verkar det som om det här är en isolerad händelse."
Även om hotet som orsakade NCUA-varningen inte grundades på en riktig attack, innehåller varningen god information, enligt Johannes Ullrich, chefforskare vid SANS Institute, en säkerhetsutbildningsgrupp. "Det är en bra lektion," sa han. Enligt honom handlade alla parter i övningen ganska mycket som de borde ha. Banken "rapporterade det till sin kontrollerande agent, som sedan lade ut den här varningen utifrån den."
Kalifornien Credit Union League Director of Research och Information, Rita Fillingane, sade att varningen fortfarande var användbar, även om det inte var baserad på en faktisk brottslig handling. "I framtiden kan något som detta komma ner i gäddan," sade hon.
Ullrich sade dock att han inte är medveten om fall där falska cd-skivor verkligen användes för att kompromissa ett datanätverk.
Han sa att han ursprungligen var mycket intresserad när han såg den första NCUA-varningen. "Jag tänkte," Slutligen är det i det vilda, för jag har bara sett det i penntester tidigare. ""
EG berömmer Googles datalagring Flytta, ber om mer
Europeiska kommissionen lovordade Googles beslut att skära data retentionstider, men uppmanade det och andra sökmotorerna ska gå ...
FTC ber högsta domstolen att granska Rambus Antitrust Case
US Federal Trade Commission ber Supreme Court att ingripa i sitt antitrustfall mot Rambus.
IE 8 Beats Competition i Microsoft-sponsrade säkerhetsprov - UPPDATERAD
I test utförda av NSS Labs blockerade IE 8 fler webbplatser med skadliga nedladdningar än andra webbläsare.