近日，由于德州保險(xiǎn)部門(TDI)的一個(gè)編程問題，德克薩斯近200萬人的個(gè)人信息被暴露了近三年。

據(jù)TDI透露，在此前發(fā)布的一份州審計(jì)報(bào)告中，從2019年3月到2022年1月，180萬提出賠償要求的工人的詳細(xì)信息在網(wǎng)上公開。其中包括社會(huì)安全號(hào)碼、地址、出生日期、電話號(hào)碼和有關(guān)工人受傷的信息。

在2022年3月24日的公告中，TDI表示，它于2022年1月4日首次發(fā)現(xiàn)管理工人薪酬信息的TDI Web 應(yīng)用程序存在安全問題。此問題使公眾能夠訪問受保護(hù)的在線部分應(yīng)用。

TDI是負(fù)責(zé)監(jiān)督德克薩斯州保險(xiǎn)業(yè)并執(zhí)行州法規(guī)的州機(jī)構(gòu)，在發(fā)現(xiàn)了這一問題后，它立即下線了該應(yīng)用程序，解決了信息泄露的問題，并開始與一家取證公司一起調(diào)查該起泄露事件的性質(zhì)和范圍。

接下來，TDI向2019年3月到2022年1月期間提交新的人工賠償要求的用戶發(fā)出信函，告知他們可能存在信息泄露的風(fēng)險(xiǎn)。根據(jù)最新的統(tǒng)計(jì)數(shù)據(jù)顯示，此次數(shù)據(jù)泄露共影響了德克薩斯州180萬人。

5月17日，TDI在新聞稿中寫到，自2022年1月開始，TDI開始調(diào)查調(diào)查以確定問題的嚴(yán)重性質(zhì)和范圍，并與一家知名網(wǎng)絡(luò)安全公司合作，試圖找到除TDI工作人員以外的人查看這些用戶的個(gè)人信息。結(jié)果顯示，暫時(shí)沒有任何證據(jù)表明已經(jīng)泄露了的員工個(gè)人信息被濫用。

TDI進(jìn)一步表示，它將免費(fèi)為可能受到影響的用戶提供 12 個(gè)月的信用監(jiān)控和身份保護(hù)服務(wù)。對(duì)此，Egnyte網(wǎng)絡(luò)安全宣傳總監(jiān)Neil Jones表示，最近發(fā)生的TDI數(shù)據(jù)泄露事件令人擔(dān)憂，因?yàn)楣と说男匠陻?shù)據(jù)包括PII(個(gè)人身份信息)和PHI(受保護(hù)的健康信息)，它們是網(wǎng)絡(luò)攻擊者的最喜歡的數(shù)據(jù)資源。盡管目前沒有證據(jù)表明泄露的信息已經(jīng)被惡意使用，但攻擊者往往會(huì)選擇一個(gè)更合適的時(shí)間，將竊取的數(shù)據(jù)在暗網(wǎng)上出售，這樣的例子并不少見。

同時(shí)，該數(shù)據(jù)泄露事件也給我們敲響了警鐘。隨著數(shù)字化的到來，政府機(jī)構(gòu)數(shù)字化的趨勢(shì)已經(jīng)十分明朗，然而在這個(gè)過程中很多機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)體系并未建設(shè)完善，以至于屢屢出現(xiàn)相類似的安全事件，給公民信息安全帶來了嚴(yán)重的影響。

從TDI數(shù)據(jù)泄露事件中可以發(fā)現(xiàn)，很多低級(jí)的網(wǎng)絡(luò)安全錯(cuò)誤并不少見。一個(gè)配置失誤就讓近兩百萬人的數(shù)據(jù)被曝光了整整三年，其中包含了大量的有價(jià)值的個(gè)人隱私信息。在這三年的時(shí)間里，該機(jī)構(gòu)從未發(fā)現(xiàn)這一隱患，以至于發(fā)生了如此災(zāi)難性事件。

換句話說，在互聯(lián)網(wǎng)化的道路上很多機(jī)構(gòu)一味求快，早已存在的諸多安全風(fēng)險(xiǎn)，此時(shí)我們更應(yīng)該回過頭反思安全性，而不是繼續(xù)埋頭跑步。畢竟只有基礎(chǔ)牢固，才能跑的更加長遠(yuǎn)。

參考來源：https://www.infosecurity-magazine.com/news/personal-information-two-million/