FEMA-le lekkinud andmed saadi 2,3 miljonist õnnetusjuhtumist


Pärast ümberasumist loodusõnnetuse tagajärjel on ülalpidamisel olevatel inimestel palju tungivaid probleeme. Nad võivad tegeleda tervisemõjude, nihkumise, vara kadumisega ja isegi lähedaste surmaga. Kuid kogu selle pärast on üks mure, mis ilmselt ei ole nende arvates, on küsimus, kas nende isikuandmete turvalisus on Federal Emergency Management Agency'iga ohutu. Kahjuks, mis peaks olema antud, on ilmselt teine ​​koormus, et lisada juba valusalt pikk nimekiri.

Reedel tunnustas FEMA avalikult inspektori peadirektoraadi sisejulgeolekuministeeriumi bürood, et hädaolukorras tegutsev asutus jagas isikuandmeid ekslikult 2,3 miljoni katastroofi tagajärjel kannatanud isiku poolt ajutise eluasemega seotud töövõtjaga. Seda tehes rikkus agentuur 1974. aasta eraelu puutumatuse seadust ja sisejulgeolekuministeeriumi ning andis ellujäänutele identiteedivarguse.

Hack

Lihtsalt selleks, et selgitada, ei ole see iseenesest häkk. Keegi ei pidanud. Ülemineku tagamise abiprogrammi kohta kogutud andmed tulid 2017. aasta California metsatulekahjude ja orkaanide Harvey, Irma ja Maria ellujäänute hulgast. Töövõtja, kes sai ebaõnnestunud andmed, aitas kindlustada toitlustusasutuste ajutist majutust hotellides – see on tavapärane praktika, nii et FEMA võib vähendada hädaolukordades viibivate inimeste arvu.

FEMA andmed, mis oleksid pidanud töövõtjale saatma toitjakaotuspensioni saamiseks, sisaldavad täielikke nimesid, sünnikuupäevi, abikõlblikkuse algus- ja lõppkuupäeva, FEMA registreerimisnumbrit ja toitjakaotuspensioni numbri nelja viimast numbrit.

See on palju teavet iseenesest. OIGi aruandes leiti ka, et FEMA jagas töövõtjaga täiendavalt 20 mittevajalikku andmevälja, sealhulgas kuus, mis sisaldavad eriti tundlikku teavet, nagu toitjakaotuspensioni täielik aadress, panga nimi, elektroonilise rahaülekande number ja panga transiidinumber.

„FEMA andis katastroofijäägiga seotud teabe üleandmisel töövõtjale rohkem teavet kui oli vajalik,” ütles reedel avalduses FEMA pressisekretär Lizzie Litzow. „Selle probleemi avastamise järel on FEMA selle vea parandamiseks võtnud agressiivseid meetmeid. FEMA ei jaga enam töövõtjaga tarbetuid andmeid ja on teinud üksikasjaliku ülevaate töövõtja infosüsteemist. Praeguseks ei ole FEMA leidnud näitajaid, mis näitaksid, et toitjakaotuse andmeid on ohustatud. "

Kes on mõjutatud?

Ameerika Ühendriikides on rohkem kui kaks miljonit hiljutist loodusõnnetust. FEMA ütleb, et ta ei teata mõjutatud isikutele ega paku mehhanismi, et inimesed saaksid kontrollida, kas need on mõjutatud, sest agentuur ei pea vahejuhtumit andmete rikkumiseks. "Informatsiooni ei avaldatud ega kahjustatud," ütles WEMEDi FEMA pressiesindaja Daniel Llargues. "Me jagasime andmeid avaldusega sarnase töövõtjaga, kuid MITTE katastroofide toitjakaotusteavet ei ohustatud."

Kui tõsine see on?

FEMA ütleb, et lekkinud andmeid ei varastatud ega kuritarvitatud, kui töövõtja seda valdas, kuid seda ei ole ka võimalik kinnitada. Agentuur on nõustunud kõigi OIGi paljude soovitustega tundlike andmete paremaks kontrollimiseks ja on võtnud kohustuse neid rakendada 30. juuniks 2020.

„Arvestades nende leidude tundlikku iseloomu, kutsume FEMA-d üles kiirendama seda ajakava,” ütles OIG oma aruandes. „Ilma parandusmeetmeteta on eraelu puutumatuse juhtumiga seotud õnnetusjuhtumite korral suurem identiteedivarguse ja pettuse oht.”

Ebavajalik ja volitamata andmete jagamine on ohtlik nii ettevõtte- kui ka valitsusasutustes ning FEMA gaffe on eriti pahameelne, arvestades mõjutatud üksikisikute juba tundlikku olukorda.

„Asjaolu, et andmeid jagati ilma kaitsemeetmeteta, on murettekitav, ja FEMA peab kohe välja selgitama, kuidas vältida tulevikus isikuandmete rikkumisi,” ütleb David Kennedy, juhtivteadmiste testimise ja juhtumiküsimuste alase nõustamise nõunik TrustedSec. „Aruande järeldused näitavad, et FEMA ei analüüsinud põhjalikult, millist teavet tuleks alltöövõtjale anda ja praktiliselt kõike.”

Värskendatud 22. märtsil 2019, 09:08 ET, et lisada FEMA-lt märkus, et agentuur ei kavatse ohvreid andmete kokkupuutest teavitada.


Suuremad WIREDi lood