(JY编译)近日,华盛顿州审计师办公室(Office of Washington State Auditor,SAO)数据泄露事件,影响至少147万华盛顿州居民,被泄露的个人信息包括姓名、社会安全号码和/或驾驶执照或州身分证号码、银行信息以及工作地点。
据《Geekwire》报导,这些数据最初属于华盛顿州就业安全局(ESD),但是,有关数据是由SAO管理,数据用于SAO对欺诈性失业索赔而损失6亿美元进行调查的一部分。SAO审计师帕特·麦卡锡(Pat McCarthy)的办公室将此漏洞归咎于一家总部位于加州帕洛阿尔托市的Accellion公司。Accellion是一家为企业提供安全文件共享服务和电脑安全软件的公司。
麦卡锡新闻稿中说:「我知道,对于已经因失业和大流行而备受恐惧的一年中,对已经面临失业的华州居民来说,事件是一个忧虑。这是完全不能接受的。我们感到沮丧,并致力于尽一切可能减轻这种犯罪造成的伤害。」SAO说,该事件发生在12月25日,有黑客未经授权,利用软件漏洞存取正在使用Accellion服务传输的文件。她更指就业安全局对此事件不用承担任何责任。
Accellion的代表告诉《西雅图时报》,该数据泄露事件涉及20年的「旧产品」软件。据Accellion首席营销官乔尔·约克(Joel York)称,Accelion一直在鼓励用户升级使用最新软件来进行管理,SAO在数据泄露后才进行升级。如果Accellion的陈述是正确的,SAO是直到数据被盗取后才更新「已有20年历史的旧版」软件,那为时已晚,因为被盗取的信息数据,容易用于银行欺诈及身份盗用。
审计局和Accellion公司的响应和处理手法,令人震惊。《Geekwire》的独立顾问,专注于在线安全和隐私领域的通信的克里斯托弗·巴德(Christopher Budd)说,Accelion网站上没有有关此数据泄露事件的信息。事实上,该网站甚至没有提及它。华盛顿州就业安全局也是如此,没有信息内容。
SAO有一个专门针对该事件的网页,为那些担心身份信息可能被盗窃的人提供了一些指南。但是,巴德称指南复杂且难以了解,并要开启多重链接。最终,该指南相当于需要受影响人士采取常规措施,来监视恶意活动。巴德指责,没有迹象表明任何一方在采取任何行动来为受害者进行身份盗窃监控。
巴德表示,数据泄露可以通过使用最新技术等安全措施,防止或降低事件发生。同时,他认为多次的数据泄露事件后,华州立法者应草拟一项法案,该法案将赋予该州的网络安全办公室(Office of Cybersecurity)更多监测其他机构存储数据的权限。
根据华盛顿州总检察长办公室去年10月底发布的第五次「年度数据泄露报告」显示,虽然2020年向其
办公室报告的违规行为有所减少,从2019年的60起减少到2020年的51起。但是,受数据泄露影响的华盛顿州居民人数,在2020年几乎翻了一番,从2019年的35.1万人增加到2020年的65.1万人。勒索软件攻击也增加了两倍。