Een gegevensinbreuk op de werkloosheidswebsite van Florida heeft gevolgen voor een niet bekendgemaakt aantal gebruikers
Mensen die door de pandemie van het coronavirus werkloos zijn geworden, verkeren in een behoorlijk slechte situatie. Op dit moment kan niemand zeggen wanneer ze weer aan het werk kunnen, en sommigen worstelen al om rond te komen. Het allerlaatste dat ze nodig hebben, is zich zorgen maken over identiteitsdiefstal. Helaas zullen sommige inwoners van Florida daar ook aan moeten denken.
Gisteren hebben nieuwsuitzendingen in de hele Sunshine State het nieuws bekendgemaakt dat het Florida Department of Economic Opportunity (DEO) "een incident met gegevensbeveiliging" heeft geleden. Het lek gebeurde blijkbaar op de website die de bijstandsaanvragen van mensen behandelt, en het betrof volledige namen en burgerservicenummers. De DEO beloofde dat getroffen personen op de hoogte worden gebracht en gratis bescherming tegen identiteitsdiefstal krijgen.
Stel je even voor dat je een inwoner van Florida bent die geen baan heeft, en je leert over het DEO-datalek uit het nieuws. U heeft waarschijnlijk haast om meer informatie over het incident te krijgen. Dit is helaas een stuk moeilijker dan het zou moeten zijn.
De DEO maakt een puinhoop van de openbaarmaking van het datalek
We hebben vaak gezegd dat transparante, gedetailleerde openbaarmaking van alles wat er is gebeurd buitengewoon belangrijk is na een datalek, en inderdaad, sommige organisaties die onbedoeld de gegevens van mensen verliezen, proberen alles duidelijk te maken. Persberichten worden gepubliceerd en FAQ-pagina's worden vaak opgezet om mensen gerust te stellen en te laten weten waar ze op moeten letten. De DEO besloot echter hier niets mee te doen.
Het nieuws brak nadat de media struikelden over de brief die de DEO naar getroffen personen stuurt. De afdeling zelf heeft geen openbare aankondiging gedaan en niets op haar website suggereert dat de informatie van mensen in gevaar is gebracht.
De brief lijkt begin mei te zijn verzonden, de afdeling zegt dat ze van het lek in april heeft gehoord, maar er is geen informatie over wanneer de daadwerkelijke inbreuk heeft plaatsgevonden. Minder dan een uur nadat het op de hoogte was van het lek, stopte de afdeling het.
De DEO heeft niet officieel aangekondigd hoeveel mensen door de inbreuk kunnen worden getroffen, en het heeft niet gezegd wie verantwoordelijk is of hoe het is gebeurd. Wat we wel uit de brief halen, is dat de gelekte informatie 'onbedoeld is verzonden naar een privé-e-mailserver die eigendom is van een derde partij die namens de dienst werkzaamheden verricht.'
Dit, in combinatie met het feit dat volgens sommige nieuwsuitzendingen zoals WFTV, het aantal getroffen mensen op minder dan 100 zit, zou kunnen suggereren dat de inbreuk niet zo erg is. Hoe het ook zij, feit blijft dat de DEO het incident niet op de best mogelijke manier afhandelt. Let wel, dit is niet het enige waar de afdeling mee worstelt.
De inbreuk is niet het enige probleem van DEO
De inbreuk vond plaats op het CONNECT-platform van DEO, wat nogal problematisch lijkt. Zelfs vóór de COVID-19-pandemie werd de website bekritiseerd vanwege de gebrekkige functionaliteit en de toestroom van werkloosheidsclaims deed het niet goed. Duizenden Floridianen klagen over een vertraagde verwerking van de claims en problemen wanneer ze proberen de afdeling te bereiken en het probleem op te lossen.
Gezien het gebrek aan officiële informatie, kunnen we alleen raden hoe ernstig het datalek van de DEO zou kunnen zijn. Wat we zeker weten, is dat de afdeling veel problemen moet oplossen.
