災(zāi)害受害者的敏感信息通過FEMA數(shù)據(jù)泄露而暴露

該漏洞共享了20多個不同的和不必要的數(shù)據(jù)字段，其中一個未命名的承包商與災(zāi)難機構(gòu)相關(guān)聯(lián)。聯(lián)邦緊急事務(wù)管理局(FEMA)在數(shù)據(jù)泄露事件中泄露了230萬災(zāi)難幸存者的個人地址和信息。

該機構(gòu)泄露了受颶風(fēng)艾爾瑪，哈維和瑪麗亞影響的人的記錄，從2017年到一個未透露姓名的外部承包商。該機構(gòu)與外部承包商共享數(shù)據(jù)的做法很常見，但“FEMA提供的信息比必要的更多，”FEMA新聞秘書Lizzie Litzow說。

該安全漏洞的發(fā)生是因為在用來放置在臨時住房災(zāi)民的程序錯誤，根據(jù)監(jiān)察長辦公室的調(diào)查結(jié)果。

不必要的共享數(shù)據(jù)包括家庭住址，出生日期以及大多數(shù)情況下屬于受害者的賬戶的敏感細(xì)節(jié)。

根據(jù)最初的監(jiān)管機構(gòu)報告，違規(guī)行為可能會使身份盜竊和欺詐行為威脅到幸存者。

“自從發(fā)現(xiàn)這個問題以來，F(xiàn)EMA已采取積極措施糾正這一錯誤，”Litzow說道，“FEMA不再與承包商共享不必要的數(shù)據(jù)，并對承包商的信息系統(tǒng)進(jìn)行了詳細(xì)審查。”

“FEMA還與承包商合作，從系統(tǒng)中刪除了不必要的數(shù)據(jù)并更新了合同，以確保符合國土安全部(DHS)的網(wǎng)絡(luò)安全和信息共享標(biāo)準(zhǔn)，”她補充說。

監(jiān)察長的報告告訴FEMA，它需要安裝控制措施，以確保數(shù)據(jù)不會繼續(xù)與有關(guān)承包商共享，并確保共享的信息從承包商的系統(tǒng)中消失。

“人們可以看到如何處理數(shù)據(jù)泄漏的最佳實踐 - 通知公眾，制定解決問題的行動計劃，然后采取措施不再重復(fù)同樣的錯誤，”高級安全工程師Boris Cipot說道。在Synopsys。“但是，它也表明了數(shù)據(jù)庫結(jié)構(gòu)中糟糕的決策如何導(dǎo)致這種災(zāi)難。”

“在處理敏感數(shù)據(jù)時，必須特別注意并且必須考慮選擇哪些數(shù)據(jù)可以訪問哪些數(shù)據(jù)以及哪些數(shù)據(jù)不應(yīng)該被系統(tǒng)訪問。如上所述，他們現(xiàn)在應(yīng)該刪除不應(yīng)該訪問的數(shù)據(jù)。分享，但如果早些時候做出選擇，就可以避免這種情況。“

該報告最初于3月15日發(fā)布，但最近才被曝光。

根據(jù)一位不愿透露姓名的國土安全部官員表示，受影響的230萬人中，有180萬人的資料泄露，另有725,000人的家庭住址被泄露。