(JY編譯)近日,華盛頓州審計師辦公室(Office of Washington State Auditor,SAO)數據洩露事件,影響至少147萬華盛頓州居民,被洩露的個人信息包括姓名、社會安全號碼和/或駕駛執照或州身分證號碼、銀行信息以及工作地點。
據《Geekwire》報導,這些數據最初屬於華盛頓州就業安全局(ESD),但是,有關數據是由SAO管理,數據用於SAO對欺詐性失業索賠而損失6億美元進行調查的一部分。SAO審計師帕特·麥卡錫(Pat McCarthy)的辦公室將此漏洞歸咎於一家總部位於加州帕洛阿爾托市的Accellion公司。Accellion是一家為企業提供安全文件共享服務和電腦安全軟件的公司。
麥卡錫新聞稿中說:「我知道,對於已經因失業和大流行而備受恐懼的一年中,對已經面臨失業的華州居民來說,事件是一個憂慮。這是完全不能接受的。我們感到沮喪,並致力於盡一切可能減輕這種犯罪造成的傷害。」SAO說,該事件發生在12月25日,有黑客未經授權,利用軟件漏洞存取正在使用Accellion服務傳輸的文件。她更指就業安全局對此事件不用承擔任何責任。
Accellion的代表告訴《西雅圖時報》,該數據洩露事件涉及20年的「舊產品」軟件。據Accellion首席營銷官喬爾·約克(Joel York)稱,Accelion一直在鼓勵用戶升級使用最新軟件來進行管理,SAO在數據洩露後才進行升級。如果Accellion的陳述是正確的,SAO是直到數據被盜取後才更新「已有20年歷史的舊版」軟件,那為時已晚,因為被盜取的信息數據,容易用於銀行欺詐及身份盜用。
審計局和Accellion公司的響應和處理手法,令人震驚。《Geekwire》的獨立顧問,專注於在線安全和隱私領域的通信的克里斯托弗·巴德(Christopher Budd)說,Accelion網站上沒有有關此數據洩露事件的信息。事實上,該網站甚至沒有提及它。華盛頓州就業安全局也是如此,沒有信息内容。
SAO有一個專門針對該事件的網頁,為那些擔心身份信息可能被盜竊的人提供了一些指南。但是,巴德稱指南複雜且難以了解,並要開啟多重鏈接。最終,該指南相當於需要受影響人士採取常規措施,來監視惡意活動。巴德指責,沒有跡象表明任何一方在採取任何行動來為受害者進行身份盜竊監控。
巴德表示,數據洩露可以通過使用最新技術等安全措施,防止或降低事件發生。同時,他認為多次的數據洩露事件後,華州立法者應草擬一項法案,該法案將賦予該州的網絡安全辦公室(Office of Cybersecurity)更多監測其他機構存儲數據的權限。
根據華盛頓州總檢察長辦公室去年10月底發佈的第五次「年度數據洩露報告」顯示,雖然2020年向其
辦公室報告的違規行為有所減少,從2019年的60起減少到2020年的51起。但是,受數據洩露影響的華盛頓州居民人數,在2020年幾乎翻了一番,從2019年的35.1萬人增加到2020年的65.1萬人。勒索軟件攻擊也增加了兩倍。