DOGE виклав в режимі реального часу копію бази даних соціального страхування на “вразливий” хмарний сервер, стверджує інформатор
1 min read

DOGE виклав в режимі реального часу копію бази даних соціального страхування на “вразливий” хмарний сервер, стверджує інформатор

Плахотнюк Сергій0

Високопосадовець Соціального забезпечення, який виступив зі свідченнями, стверджує, що співробітники Міністерства ефективності уряду (DOGE) адміністрації Трампа завантажили сотні мільйонів записів про соціальне забезпечення на ненадійний хмарний сервер, що поставило під загрозу особисту інформацію більшості американців.

Чарльз Боргес, головний керівник даних Соціального забезпечення, у нещодавно опублікованій скарзі заявив, що інші високопосадовці агенції погодилися на рішення завантажити “активну копію соціальної інформації країни в хмарне середовище, що обходить контроль”, незважаючи на його занепокоєння.

База даних, відома як Система числової ідентифікації, містить понад 450 мільйонів записів з усіма даними, поданими в рамках заявки на соціальне забезпечення, включаючи ім’я заявника, місце народження, громадянство та номери соціального забезпечення членів його сім’ї, а також іншу чутливу інформацію.

Боргес зазначив, що співробітники DOGE, команда колишніх працівників Ілона Маска, призначена урядом з метою зменшення шахрайства та витрат, скопіювали цю чутливу базу даних на хмарний сервер, що належить агенції та розташований на Amazon, “очевидно, без незалежного контролю безпеки”, що включає в себе інформацію про доступ до даних та їх використання.

Відсутність заходів безпеки порушила внутрішні контролі агенції та федеральні закони про конфіденційність, стверджує скарга.

Боргес зауважив, що, дозволивши DOGE бути адміністраторами хмари агенції, операторам DOGE надається можливість створювати “сервіси з публічним доступом”, що означає, що вони можуть надати публічний доступ до системи хмари та будь-яких чутливих даних, що містяться всередині.

Він попередив у скарзі, що якщо ця інформація буде скомпрометована, “можливо, чутлива [особиста інформація] кожного американця, включаючи медичні діагнози, рівні доходів і банківську інформацію, родинні зв’язки та особисті біографічні дані можуть бути розкриті публічно та широко поширені.”

У скарзі зазначається, що будь-яка компрометація або несанкціонований доступ до бази даних матиме “катастрофічний вплив” на програму соціального забезпечення США, описуючи найгірший сценарій, при якому, можливо, доведеться перепроставити номери соціального забезпечення всім громадянам.

Хоча федеральний судовий заборонний наказ у березні спочатку заборонив співробітникам DOGE доступ до медичних даних США, Верховний суд скасував це рішення 6 червня, відкривши шлях для доступу DOGE.

У наступні дні DOGE нібито намагався отримати внутрішні схвалення від керівництва агенції, згідно зі скаргою Боргеса.

Головний інформаційний директор агенції, Арам Могаддасі, схвалив перенесення бази даних до хмарного середовища агенції, стверджуючи, що “виробничі потреби перевищують ризик для безпеки” і що він приймає “всі ризики” з цим проектом. У скарзі також зазначається, що Майкл Руссо, старший співробітник DOGE, який раніше обіймав посаду CIO агенції, але залишається у структурі, також погодився на перенесення живих даних соціального забезпечення до хмари.

Боргес сказав, що спочатку звернув увагу на проблеми всередині агенції, але пізніше вирішив виступити з відомостями, щоб закликати членів Конгресу “залучити негайний контроль для вирішення цих серйозних проблем”, відповідно до заяви його адвоката, Андреа Мези, з проекту Уряду під звітність.

Це остання обвинувачення у неналежних практиках кібербезпеки з боку адміністрації та її представників, зокрема DOGE, з моменту вступу президента Трампа на посаду в січні. З січня члени DOGE отримали контролюючу владу над більшістю федеральних департаментів США та їх базами даних громадян.

Відповідаючи на запитання, речниця Білого дому, Елізабет Х’юстон, не змогла підтвердити, чи відома адміністрація про цю скаргу, та перенаправила коментарі до Соціального забезпечення.

У відповіді електронною поштою речник Соціального забезпечення, Нік Перрін, заявив, що агенція “зберігає особисті дані в безпечних середовищах з надійними заходами захисту для охорони важливої інформації”.

“Дані, на які йдеться в скарзі, зберігаються в давно усталеному середовищі, що використовується Соціальним забезпеченням, і закрите для Інтернету. Високопрофесійні співробітники агенції мають адміністративний доступ до цієї системи за наглядом Команди інформаційної безпеки Соціального забезпечення,” – додав речник.

Речник також повідомив, що агенція “не знає про жодні компрометації цього середовища.”

Випадки витоку даних, що містять федеральні дані уряду, зберігалися в хмарі, є рідкісними, проте не виключеними. У 2023 році у звіті повідомлялося, що Міністерство оборони США публічно розкрило тисячі чутливих військових електронних листів через неналежне управління. Незважаючи на те, що дані електронної пошти зберігалися в окремій хмарі Microsoft Azure, призначеній для клієнтів уряду, неправильна конфігурація дозволила змісту електронних листів військового підрозділу вийти в публічний доступ.

Виправлення: У попередній версії цієї історії була неправильно вказана інформація про місце, де розміщено витік електронної пошти Міністерства оборони. Тепер у сюжеті вказано, що дані були розміщені на Microsoft Azure.

Related Posts