德州近200万个人信息被曝光了三年
2022-5-19 14:52:25 Author: www.freebuf.com(查看原文) 阅读量:15 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近日,由于德州保险部门(TDI)的一个编程问题,德克萨斯近200万人的个人信息被暴露了近三年。

据TDI透露,在此前发布的一份州审计报告中,从2019年3月到2022年1月,180万提出赔偿要求的工人的详细信息在网上公开。其中包括社会安全号码、地址、出生日期、电话号码和有关工人受伤的信息。

在2022年3月24日的公告中,TDI表示,它于2022年1月4日首次发现管理工人薪酬信息的TDI Web 应用程序存在安全问题。此问题使公众能够访问受保护的在线部分应用。

TDI是负责监督德克萨斯州保险业并执行州法规的州机构,在发现了这一问题后,它立即下线了该应用程序,解决了信息泄露的问题,并开始与一家取证公司一起调查该起泄露事件的性质和范围。

接下来,TDI向2019年3月到2022年1月期间提交新的人工赔偿要求的用户发出信函,告知他们可能存在信息泄露的风险。根据最新的统计数据显示,此次数据泄露共影响了德克萨斯州180万人。

5月17日,TDI在新闻稿中写到,自2022年1月开始,TDI开始调查调查以确定问题的严重性质和范围,并与一家知名网络安全公司合作,试图找到除TDI工作人员以外的人查看这些用户的个人信息。结果显示,暂时没有任何证据表明已经泄露了的员工个人信息被滥用。

TDI进一步表示,它将免费为可能受到影响的用户提供 12 个月的信用监控和身份保护服务。对此,Egnyte网络安全宣传总监Neil Jones表示,最近发生的TDI数据泄露事件令人担忧,因为工人的薪酬数据包括PII(个人身份信息)和PHI(受保护的健康信息),它们是网络攻击者的最喜欢的数据资源。尽管目前没有证据表明泄露的信息已经被恶意使用,但攻击者往往会选择一个更合适的时间,将窃取的数据在暗网上出售,这样的例子并不少见。

同时,该数据泄露事件也给我们敲响了警钟。随着数字化的到来,政府机构数字化的趋势已经十分明朗,然而在这个过程中很多机构的网络安全防护体系并未建设完善,以至于屡屡出现相类似的安全事件,给公民信息安全带来了严重的影响。

从TDI数据泄露事件中可以发现,很多低级的网络安全错误并不少见。一个配置失误就让近两百万人的数据被曝光了整整三年,其中包含了大量的有价值的个人隐私信息。在这三年的时间里,该机构从未发现这一隐患,以至于发生了如此灾难性事件。

换句话说,在互联网化的道路上很多机构一味求快,早已存在的诸多安全风险,此时我们更应该回过头反思安全性,而不是继续埋头跑步。毕竟只有基础牢固,才能跑的更加长远。

参考来源:https://www.infosecurity-magazine.com/news/personal-information-two-million/


文章来源: https://www.freebuf.com/news/333613.html
如有侵权请联系:admin#unsafe.sh