Μια παραβίαση δεδομένων στην υπηρεσία των αμερικανικών στρατευμάτων αποκάλυψε τα προσωπικά στοιχεία των κρατουμένων

Με τον ίδιο τρόπο που οι αξιωματικοί επιβολής του νόμου θα πρέπει να είναι πρότυπα συμπεριφοράς για τους τακτικούς πολίτες, οι υπηρεσίες επιβολής του νόμου πρέπει να δείχνουν τόσο σε ιδιωτικούς όσο και σε κυβερνητικούς οργανισμούς τι να κάνουν και τι να μην κάνουν σε διάφορες καταστάσεις. Δυστυχώς, τα πράγματα δεν λειτουργούν πάντα έτσι. Για παράδειγμα, η Υπηρεσία Μάρσαλ των ΗΠΑ (USMS) υπέστη πρόσφατα παραβίαση δεδομένων και πρέπει να ειπωθεί ότι η απάντηση του οργανισμού μετά το συμβάν ήταν λιγότερο από ιδανική.

Οι χάκερ σπάζουν τους διακομιστές USMS και κλέβουν τα τρέχοντα και τα προηγούμενα προσωπικά δεδομένα των κρατουμένων

Το USMS είναι μέρος του Υπουργείου Δικαιοσύνης και ο κύριος ρόλος του είναι η σύλληψη φυγάδων και η έκδοση εντάλματος σύλληψης. Προφανώς, τα προσωπικά δεδομένα των ατόμων που έχουν τεθεί υπό κράτηση χάρη στις ενέργειες του USMS καταγράφονται και αποθηκεύονται σε διακομιστή. Κάποια στιγμή πέρυσι, αυτός ο διακομιστής είχε παραβιαστεί και τα δεδομένα σε αυτόν κλαπεί.

Στα τέλη Δεκεμβρίου 2019, το Υπουργείο Δικαιοσύνης ενημέρωσε το USMS για την παραβίαση, και λίγο μετά, η τρύπα συνδέθηκε. Αυτήν τη στιγμή, το USMS βρίσκεται στη διαδικασία αναγνώρισης των πληγέντων πρώην και τρεχόντων κρατουμένων και ενημέρωσής τους μέσω του σαλιγκαριού. Έχουν κάθε δικαίωμα να γνωρίζουν το περιστατικό, διότι κατά τη διάρκεια της παραβίασης, οι χάκερ αποκάλυψαν όλες τις πληροφορίες που χρειάζονται για να διαπράξουν κλοπή ταυτότητας. Σύμφωνα με τις ειδοποιήσεις, η κλεμμένη βάση δεδομένων περιελάμβανε ονόματα ατόμων, ημερομηνίες γέννησης, αριθμούς κοινωνικής ασφάλισης και διευθύνσεις σπιτιού. Αφού ενημερώθηκαν για την παραβίαση, τα πληγέντα άτομα ενημερώθηκαν για το τι μπορούν να κάνουν για να προστατευθούν από την κλοπή ταυτότητας.

Το USMS δεν θέλει να μιλήσει για την παραβίαση

Το USMS προφανώς δεν είχε καμία πρόθεση να ενημερώσει τον πληθυσμό για την παραβίαση δεδομένων. Έστειλε τις επιστολές χωρίς να ανακοινώσει τίποτα και οι άνθρωποι το έμαθαν μόνο αφού μερικοί από τους παραλήπτες μοιράστηκαν φωτογραφίες των ειδοποιήσεων στα μέσα κοινωνικής δικτύωσης. Οι TechCrunch και ZDNet, τα δύο πρακτορεία ειδήσεων που έγραψαν για την παραβίαση, ζήτησαν από την USMS περαιτέρω σχόλια, αλλά η κυβερνητική υπηρεσία προτίμησε να μην αποκαλύψει περαιτέρω πληροφορίες.

Υπάρχει απτή έλλειψη λεπτομερειών σχετικά με το περιστατικό και αφήνει αναπάντητες αρκετές ερωτήσεις. Δεν γνωρίζουμε, για παράδειγμα, γιατί χρειάστηκε το USMS το καλύτερο μέρος των τεσσάρων μηνών προτού αρχίσει να ενημερώνει τα άτομα που επηρεάζονται από την παραβίαση δεδομένων. Οι ίδιες οι ειδοποιήσεις δεν ξεχειλίζουν ακριβώς από πληροφορίες. Στην επιστολή δεν αναφέρεται, για παράδειγμα, πόσα άτομα επηρεάστηκαν, τι είδους διακομιστής χρησιμοποιήθηκε για την αποθήκευση των προσωπικών στοιχείων των κρατουμένων ή πώς και πότε εισέβαλαν οι χάκερ.

Οι κυβερνητικοί οργανισμοί πρέπει να γνωρίζουν καλύτερα από οποιονδήποτε άλλον ότι η σωστή αποκάλυψη παραβίασης δεδομένων δεν είναι τόσο απλή όσο η σύνταξη μιας σύντομης ειδοποίησης και η δήλωση ότι το απόρρητο και η ασφάλεια των ανθρώπων λαμβάνεται σοβαρά υπόψη. Ακόμα και αν διεξάγεται έρευνα, η πλήρης διαφάνεια είναι απαραίτητη εάν η στοχευμένη εταιρεία ή ίδρυμα πρόκειται να διατηρήσει την αξιοπιστία της στα μάτια του κοινού. Δυστυχώς, σε αυτήν τη συγκεκριμένη περίπτωση, η διαφάνεια δεν φαίνεται να είναι πολύ υψηλή στη λίστα προτεραιότητας του USMS.