大流行期间,许多美国人依靠国家福利来度过难关。在华盛顿州,有160万失业求偿者可能遭受身份盗用的困扰。针对一家为州审计署处理大量数据转移的第三方供应商的黑客攻击,可能暴露了所有在2020年申请失业的人的极其敏感的个人信息,包括社会保险号码和银行转账号码。
对华盛顿州审计署供应商的软件入侵暴露了失业信息
州审计署估计,在数据泄露中暴露了160万条记录,大约有147万名国家失业求偿者因多次申请而受到影响。该违规行为会影响2020年1月1日至12月10日在华盛顿提出索赔的任何人。
此次黑客攻击源自对Accellion的入侵,Accelion是州审计署用来传输大型计算机文件的软件供应商。审计署显然一直在使用一个叫做FTA的老Accellion产品,这个产品已经有20年的历史了。该公司透露,除了州审计署,还有50名其他客户受到了影响。
这两个组织很快相互指责。Accellion将FTA称为“传统”产品,并表示州审计署正在升级到其当前的“ kiteworks”系统,FTA“并非仅针对”现代威胁而设计。州审计长帕特·麦卡锡(Pat McCarthy)周一表示,该机构已经为FTA的订阅付费了13年,并期望建立“安全系统”,但FTA从未对该产品发布任何安全警告。
140多万牵涉其中的华盛顿人可能不太关心指责的对象,他们更关心的是被曝光的大量敏感个人信息到底发生了什么:社会安全号码、银行帐户和用于存款的银行代号、驾照和州身份证明数字、工作地点以及全名和实际住址——这提供了足够的信息,以使技术熟练的犯罪分子能够直接从银行帐户中提取资金,还将迫使100多万国家失业救济申领人更改他们的账号,并在经济困难时期采取信贷保护措施。
到底谁的责任?有两种不同的观点
一种观点认为,州审计署应对未能遵守安全最佳行为负责。尽管政府机构由于预算限制而使用过时的系统并不罕见,但使用被破坏的已有20年历史的旧系统是不可原谅的。即使更改银行帐号并获得信贷监控,失业求偿者在不久的将来也可能面临进一步的调查和欺诈风险:华盛顿州的失业用户需要警惕钓鱼邮件、垃圾邮件、短信和电话骚扰。
相反观点支持者则称,Accellion是一家广受信任的网络安全公司,被几家大型公共部门和私营机构使用。尽管Accellion声称审计署使用了旧产品,并鼓励升级,但报告并未说明该产品是否已达到报废状态。如果Accellion仍然支持该产品,那么它就不应该试图推卸责任。如果产品已经到了生命周期的尽头,那么审计署将承担不转移到支持产品的责任。
目前最紧迫的问题是,还有谁在使用同样的传统产品?他们都易受攻击吗?这一漏洞可能会给许多持有敏感数据的重要大型机构带来严重后果。
信息暴露范围可能超出失业求助者
数以百万计的失业求助者很可能不是国家审计署违规行为的唯一受害者。办公室使用Accellion软件服务不仅用于失业索赔;它还用于需要传输大量数据(通常是个人信息)的任何情况。对于失业索赔人,被泄露的数据实际上是在欺诈调查中使用的。州审计署进行了许多此类调查,涉及约25个州机构和100个地方政府办公室。麦卡锡证实,一些属于这些其他机构的数据可能已经被曝光。州审计署是华盛顿唯一使用受侵害的FTA软件的机构。
对失业救济申领者的打击来自对华盛顿的就业保障部(ESD)进行的调查中,该机构负责管理失业救济金。麦卡锡在2020年末公开指责ESD前委员苏茜·莱文(Suzi LeVine)妨碍州审计署调查数亿美元的大流行救助资金是如何因欺诈性索赔而损失的。据估计,诈骗犯已经骗取了该州近6亿美元,其中3.56亿美元已经追回。在冠状病毒大流行的初期,成千上万的人大概被尼日利亚的一个名为“分散的金丝雀”的犯罪集团所骗。
撰写本文时,Accellion继续在其网站上宣传FTA作为一种积极的产品,吹捧“安全的文件传输”和“安全的第三方内容交流”。然而,向下滚动确实会看到一个通知,即该产品将于4月30日到期,并且在该日期之后将不提供续订。根据一家公司的新闻稿,导致此漏洞(据称是SQL注入漏洞)的问题已在72小时内修复,但尚不清楚该漏洞窗口打开了多长时间。
此后,包括新西兰储备银行(Reserve Bank of New Zealand)和澳大利亚证券与投资委员会(Australian Securities and investment Commission)在内的其他几个使用FTA的组织也报告了违规行为。(本文出自SCA安全通信联盟,转载请注明出处。)