Naruszenie danych w US Marshals Service ujawniło dane osobowe więźniów

W taki sam sposób, w jaki funkcjonariusze organów ścigania powinni stanowić wzorcowe zachowania dla zwykłych obywateli, organy ścigania powinny pokazywać zarówno prywatnym, jak i rządowym organizacjom, co robić, a czego nie robić w różnych sytuacjach. Niestety, rzeczy nie zawsze działają w ten sposób. Na przykład US Marshals Service (USMS) niedawno doznało naruszenia bezpieczeństwa danych i należy stwierdzić, że reakcja agencji po incydencie była mniej niż idealna.

Hakerzy niszczą serwery USMS i kradną aktualne dane osobowe byłych więźniów

USMS jest częścią Departamentu Sprawiedliwości, a jego główną rolą jest łapanie zbiegów i doręczanie nakazów aresztowania. Najwyraźniej dane osobowe osób aresztowanych dzięki działaniom USMS są rejestrowane i przechowywane na serwerze. W pewnym momencie ubiegłego roku serwer ten został przejęty, a dane w nim skradzione.

Pod koniec grudnia 2019 r. Departament Sprawiedliwości poinformował USMS o naruszeniu, a wkrótce potem dziura została zatkana. W tej chwili USMS jest w trakcie identyfikacji byłych i obecnych więźniów, których to dotyczy, i informuje ich pocztą ślimakową. Mają pełne prawo wiedzieć o incydencie, ponieważ podczas naruszenia hakerzy wyłudzili wszelkie informacje potrzebne do popełnienia kradzieży tożsamości. Zgodnie z powiadomieniami skradziona baza danych zawierała nazwiska osób, daty urodzenia, numery ubezpieczenia społecznego i adresy domowe. Po poinformowaniu o naruszeniu osoby, których to dotyczy, zostały poinformowane o tym, co mogą zrobić, aby uchronić się przed kradzieżą tożsamości.

USMS nie chce rozmawiać o naruszeniu

USMS najwyraźniej nie zamierzał informować populacji o naruszeniu danych. Rozesłał listy, nie informując niczego, a ludzie dowiedzieli się o tym dopiero po udostępnieniu przez niektórych odbiorców zdjęć powiadomień w mediach społecznościowych. TechCrunch i ZDNet, dwa serwisy informacyjne, które po raz pierwszy napisały o naruszeniu, poprosiły USMS o dalsze komentarze, ale agencja rządowa wolała nie ujawniać żadnych dalszych informacji.

Wyczuwalny jest namacalny brak szczegółów i pozostawia sporo pytań bez odpowiedzi. Nie wiemy na przykład, dlaczego USMS zajęło większą część czterech miesięcy, zanim zaczął informować osoby, których dotyczy naruszenie danych. Same powiadomienia również nie są przepełnione informacjami. List nie mówi na przykład, ile osób zostało dotkniętych, jakiego rodzaju serwer był używany do przechowywania danych osobowych więźniów, ani w jaki sposób i kiedy włamali się hakerzy.

Organizacje rządowe powinny wiedzieć lepiej niż ktokolwiek inny, że prawidłowe ujawnienie naruszenia ochrony danych nie jest tak proste, jak napisanie krótkiego powiadomienia i powiedzenie, że prywatność i bezpieczeństwo ludzi są traktowane poważnie. Nawet jeśli dochodzenie jest w toku, pełna przejrzystość jest niezbędna, jeśli docelowa firma lub instytucja ma zachować wiarygodność w oczach opinii publicznej. Niestety w tym konkretnym przypadku przejrzystość nie wydaje się zbyt wysoka na liście priorytetów USMS.