災(zāi)害受害者的敏感信息通過(guò)FEMA數(shù)據(jù)泄露而暴露

該漏洞共享了20多個(gè)不同的和不必要的數(shù)據(jù)字段，其中一個(gè)未命名的承包商與災(zāi)難機(jī)構(gòu)相關(guān)聯(lián)。聯(lián)邦緊急事務(wù)管理局(FEMA)在數(shù)據(jù)泄露事件中泄露了230萬(wàn)災(zāi)難幸存者的個(gè)人地址和信息。

該機(jī)構(gòu)泄露了受颶風(fēng)艾爾瑪，哈維和瑪麗亞影響的人的記錄，從2017年到一個(gè)未透露姓名的外部承包商。該機(jī)構(gòu)與外部承包商共享數(shù)據(jù)的做法很常見(jiàn)，但“FEMA提供的信息比必要的更多，”FEMA新聞秘書(shū)Lizzie Litzow說(shuō)。

該安全漏洞的發(fā)生是因?yàn)樵谟脕?lái)放置在臨時(shí)住房災(zāi)民的程序錯(cuò)誤，根據(jù)監(jiān)察長(zhǎng)辦公室的調(diào)查結(jié)果。

不必要的共享數(shù)據(jù)包括家庭住址，出生日期以及大多數(shù)情況下屬于受害者的賬戶的敏感細(xì)節(jié)。

根據(jù)最初的監(jiān)管機(jī)構(gòu)報(bào)告，違規(guī)行為可能會(huì)使身份盜竊和欺詐行為威脅到幸存者。

“自從發(fā)現(xiàn)這個(gè)問(wèn)題以來(lái)，F(xiàn)EMA已采取積極措施糾正這一錯(cuò)誤，”Litzow說(shuō)道，“FEMA不再與承包商共享不必要的數(shù)據(jù)，并對(duì)承包商的信息系統(tǒng)進(jìn)行了詳細(xì)審查。”

“FEMA還與承包商合作，從系統(tǒng)中刪除了不必要的數(shù)據(jù)并更新了合同，以確保符合國(guó)土安全部(DHS)的網(wǎng)絡(luò)安全和信息共享標(biāo)準(zhǔn)，”她補(bǔ)充說(shuō)。

監(jiān)察長(zhǎng)的報(bào)告告訴FEMA，它需要安裝控制措施，以確保數(shù)據(jù)不會(huì)繼續(xù)與有關(guān)承包商共享，并確保共享的信息從承包商的系統(tǒng)中消失。

“人們可以看到如何處理數(shù)據(jù)泄漏的最佳實(shí)踐 - 通知公眾，制定解決問(wèn)題的行動(dòng)計(jì)劃，然后采取措施不再重復(fù)同樣的錯(cuò)誤，”高級(jí)安全工程師Boris Cipot說(shuō)道。在Synopsys。“但是，它也表明了數(shù)據(jù)庫(kù)結(jié)構(gòu)中糟糕的決策如何導(dǎo)致這種災(zāi)難。”

“在處理敏感數(shù)據(jù)時(shí)，必須特別注意并且必須考慮選擇哪些數(shù)據(jù)可以訪問(wèn)哪些數(shù)據(jù)以及哪些數(shù)據(jù)不應(yīng)該被系統(tǒng)訪問(wèn)。如上所述，他們現(xiàn)在應(yīng)該刪除不應(yīng)該訪問(wèn)的數(shù)據(jù)。分享，但如果早些時(shí)候做出選擇，就可以避免這種情況。“

該報(bào)告最初于3月15日發(fā)布，但最近才被曝光。

根據(jù)一位不愿透露姓名的國(guó)土安全部官員表示，受影響的230萬(wàn)人中，有180萬(wàn)人的資料泄露，另有725,000人的家庭住址被泄露。