Una violazione dei dati presso il servizio dei marescialli degli Stati Uniti ha rivelato le informazioni personali dei prigionieri
Allo stesso modo in cui gli agenti delle forze dell'ordine dovrebbero essere modelli comportamentali per i cittadini regolari, le forze dell'ordine dovrebbero mostrare alle organizzazioni private e governative cosa fare e cosa non fare in varie situazioni. Sfortunatamente, le cose non vanno sempre così. Il servizio US Marshals (USMS), ad esempio, ha recentemente subito una violazione dei dati e bisogna dire che la risposta post-incidente dell'agenzia è stata tutt'altro che ideale.
Gli hacker rompono i server USMS e rubano i dati personali dei detenuti attuali e precedenti
USMS fa parte del Dipartimento di Giustizia e il suo ruolo principale è catturare i fuggitivi e servire i mandati di arresto. Apparentemente, i dati personali delle persone prese in custodia grazie alle azioni di USMS vengono registrati e archiviati su un server. Ad un certo punto l'anno scorso, questo server è stato compromesso e i dati in esso contenuti sono stati rubati.
Alla fine di dicembre 2019, il Dipartimento di Giustizia ha informato USMS della violazione e, poco dopo, il buco è stato tappato. In questo momento, USMS sta identificando i prigionieri precedenti e attuali interessati e informandoli tramite posta ordinaria. Hanno tutto il diritto di sapere dell'incidente perché durante la violazione, gli hacker hanno sottratto tutte le informazioni di cui hanno bisogno per perpetrare il furto di identità. Secondo le notifiche, il database rubato includeva nomi di persone, date di nascita, numeri di previdenza sociale e indirizzi di casa. Dopo essere stati informati della violazione, le persone interessate sono state informate su cosa possono fare per proteggersi dal furto di identità.
USMS non vuole parlare della violazione
Apparentemente USMS non aveva intenzione di informare la popolazione sulla violazione dei dati. Ha inviato le lettere senza annunciare nulla e la gente l'ha appreso solo dopo che alcuni dei destinatari hanno condiviso le foto delle notifiche sui social media. TechCrunch e ZDNet, i due punti vendita che per primi hanno scritto della violazione, hanno chiesto all'USMS ulteriori commenti, ma l'agenzia governativa ha preferito non divulgare ulteriori informazioni.
C'è una tangibile mancanza di dettagli intorno all'incidente e lascia alcune domande senza risposta. Non sappiamo, ad esempio, perché USMS abbia impiegato la parte migliore di quattro mesi prima di iniziare a informare le persone colpite dalla violazione dei dati. Le notifiche stesse non sono esattamente traboccanti di informazioni. La lettera non dice, ad esempio, quante persone sono state colpite, che tipo di server è stato utilizzato per archiviare i dettagli personali dei prigionieri, o come e quando sono entrati gli hacker.
Le organizzazioni governative dovrebbero sapere meglio di chiunque altro che divulgare correttamente una violazione dei dati non è semplice come scrivere una breve notifica e dire che la privacy e la sicurezza delle persone sono prese sul serio. Anche se è in corso un'indagine, la completa trasparenza è essenziale se la società o l'istituzione destinataria deve mantenere la propria affidabilità agli occhi del pubblico. Sfortunatamente, in questo caso particolare, la trasparenza non sembra essere molto alta nell'elenco delle priorità di USMS.