近日,由于德州保险部门(TDI)的一个编程问题,德克萨斯近200万人的个人信息被暴露了近三年。
据TDI透露,在此前发布的一份州审计报告中,从2019年3月到2022年1月,180万提出赔偿要求的工人的详细信息在网上公开。其中包括社会安全号码、地址、出生日期、电话号码和有关工人受伤的信息。
在2022年3月24日的公告中,TDI表示,它于2022年1月4日首次发现管理工人薪酬信息的TDI Web 应用程序存在安全问题。此问题使公众能够访问受保护的在线部分应用。
TDI是负责监督德克萨斯州保险业并执行州法规的州机构,在发现了这一问题后,它立即下线了该应用程序,解决了信息泄露的问题,并开始与一家取证公司一起调查该起泄露事件的性质和范围。
接下来,TDI向2019年3月到2022年1月期间提交新的人工赔偿要求的用户发出信函,告知他们可能存在信息泄露的风险。根据最新的统计数据显示,此次数据泄露共影响了德克萨斯州180万人。
5月17日,TDI在新闻稿中写到,自2022年1月开始,TDI开始调查调查以确定问题的严重性质和范围,并与一家知名网络安全公司合作,试图找到除TDI工作人员以外的人查看这些用户的个人信息。结果显示,暂时没有任何证据表明已经泄露了的员工个人信息被滥用。
TDI进一步表示,它将免费为可能受到影响的用户提供 12 个月的信用监控和身份保护服务。对此,Egnyte网络安全宣传总监Neil Jones表示,最近发生的TDI数据泄露事件令人担忧,因为工人的薪酬数据包括PII(个人身份信息)和PHI(受保护的健康信息),它们是网络攻击者的最喜欢的数据资源。尽管目前没有证据表明泄露的信息已经被恶意使用,但攻击者往往会选择一个更合适的时间,将窃取的数据在暗网上出售,这样的例子并不少见。
同时,该数据泄露事件也给我们敲响了警钟。随着数字化的到来,政府机构数字化的趋势已经十分明朗,然而在这个过程中很多机构的网络安全防护体系并未建设完善,以至于屡屡出现相类似的安全事件,给公民信息安全带来了严重的影响。
从TDI数据泄露事件中可以发现,很多低级的网络安全错误并不少见。一个配置失误就让近两百万人的数据被曝光了整整三年,其中包含了大量的有价值的个人隐私信息。在这三年的时间里,该机构从未发现这一隐患,以至于发生了如此灾难性事件。
换句话说,在互联网化的道路上很多机构一味求快,早已存在的诸多安全风险,此时我们更应该回过头反思安全性,而不是继续埋头跑步。毕竟只有基础牢固,才能跑的更加长远。
参考来源
https://www.infosecurity-magazine.com/news/personal-information-two-million/