Een datalek bij de US Marshals Service onthulde de persoonlijke informatie van gevangenen
Op dezelfde manier dat wetshandhavers rolmodellen moeten zijn voor gewone burgers, moeten wetshandhavingsinstanties zowel particuliere als overheidsorganisaties laten zien wat ze wel en niet moeten doen in verschillende situaties. Helaas gaat het niet altijd zo. Zo heeft bijvoorbeeld de US Marshals Service (USMS) onlangs een datalek opgelopen en moet worden gezegd dat de reactie van de dienst na het incident niet ideaal was.
Hackers breken de servers van USMS en stelen de persoonlijke gegevens van huidige en voormalige gevangenen
USMS maakt deel uit van het ministerie van Justitie en heeft als belangrijkste taak het zoeken naar voortvluchtigen en het aanleveren van arrestatiebevelen. Blijkbaar worden de persoonlijke gegevens van de mensen die dankzij de acties van USMS in hechtenis worden genomen, geregistreerd en opgeslagen op een server. Op een bepaald moment vorig jaar werd deze server gecompromitteerd en werden de gegevens erin gestolen.
Eind december 2019 informeerde het ministerie van Justitie USMS over de inbreuk en kort daarna werd het gat dichtgemaakt. Op dit moment is USMS bezig met het identificeren van de getroffen voormalige en huidige gevangenen en hen te informeren via de post. Ze hebben het volste recht op de hoogte te zijn van het incident, omdat tijdens de inbreuk de hackers alle informatie die ze nodig hebben om identiteitsdiefstal te plegen, hebben overgeheveld. Volgens de meldingen bevatte de gestolen database de namen van mensen, geboortedata, burgerservicenummers en huisadressen. Na te zijn geïnformeerd over de inbreuk, werden de getroffen personen geïnformeerd over wat ze kunnen doen om zichzelf te beschermen tegen identiteitsdiefstal.
USMS wil niet praten over de inbreuk
USMS was kennelijk niet van plan de bevolking op de hoogte te stellen van het datalek. Het stuurde de brieven zonder iets aan te kondigen, en mensen hoorden er pas van nadat enkele van de ontvangers foto's van de meldingen op sociale media hadden gedeeld. TechCrunch en ZDNet, de twee nieuwsuitzendingen die voor het eerst over de inbreuk schreven, vroegen USMS om verdere opmerkingen, maar de overheidsinstantie gaf er de voorkeur aan geen verdere informatie bekend te maken.
Er is een duidelijk gebrek aan details rond het incident en er blijven nogal wat vragen onbeantwoord. We weten bijvoorbeeld niet waarom het USMS het grootste deel van vier maanden kostte voordat het de mensen begon te informeren die door het datalek waren getroffen. De meldingen zelf lopen ook niet bepaald over van informatie. In de brief staat bijvoorbeeld niet hoeveel mensen zijn getroffen, wat voor soort server is gebruikt om de persoonlijke gegevens van gevangenen op te slaan of hoe en wanneer de hackers hebben ingebroken.
Overheidsorganisaties zouden als geen ander moeten weten dat het correct melden van een datalek niet zo eenvoudig is als het schrijven van een korte melding en zeggen dat de privacy en veiligheid van mensen serieus wordt genomen. Zelfs als er een onderzoek gaande is, is volledige transparantie essentieel als het beoogde bedrijf of de instelling haar betrouwbaarheid wil behouden in de ogen van het publiek. Helaas lijkt transparantie in dit specifieke geval niet erg hoog op de prioriteitenlijst van USMS.