Agência Americana vaza informações de 2 milhões de sobreviventes de desastres



Agência Americana vaza informações de 2,3Mi de sobreviventes de desastres. O Escritório de Inspeção-Geral do Departamento de Segurança Interna (OIG) constatou que a exposição de dados de PII (Personally Identifiable Information) da FEMA – Agência Federal de Gerenciamento de Emergências dos EUA (Federal Emergency Management Agency) – afetou 2,3 ​​milhões de sobreviventes de desastres que se inscreveram no programa de Assistência de Abrigo Temporário (TSA – Transitional Sheltering Assistance) da agência após vários furacões de 2017 e incêndios na Califórnia.


A TechTarget afirma que de acordo com o relatório do OIG, “a FEMA não protegeu as informações pessoalmente identificáveis ​​sensíveis dos sobreviventes de desastre“, a FEM divulgou PII das vítimas e PII “Sensíveis”, incluindo dados financeiros, a um contratado terceirizado que administrava o programa TSA.


Depois de ter sido expulso por um desastre natural, os sobreviventes têm muitas preocupações prementes. Eles podem estar lidando com impactos na saúde, deslocamento, perda de propriedade e até mesmo luto pela morte de entes queridos. Por tudo isso, no entanto, uma preocupação que provavelmente não está em suas mentes é a questão de saber se os dados pessoais estão seguros com a Agência Federal de Gerenciamento de Emergências. Infelizmente, o que deveria ser dado é, aparentemente, outro fardo a ser adicionado a uma lista já dolorosamente longa.


Na sexta-feira, 22 de março, a FEMA reconheceu publicamente um relatório do Departamento do Departamento de Segurança Interna (Homeland Security Department Office), onde a agência de resposta a emergências erroneamente compartilhou dados pessoais de 2,3 milhões de sobreviventes de desastres com um empreiteiro temporário relacionado à moradia. Ao fazê-lo, a agência violou a Lei de Privacidade de 1974 e a política do Departamento de Segurança Interna e expôs os sobreviventes ao roubo de identidade.


Enquanto o empreiteiro, cujo nome foi retirado do relatório, tinha direito a algumas informações para verificar a elegibilidade das vítimas de desastres no programa TSA, a FEMA liberou 20 “campos de dados desnecessários” para o contratante.


O incidente de privacidade ocorreu porque a FEMA não tomou medidas para garantir que fornecesse apenas os elementos de dados necessários [para o contratado]“, afirmou o relatório. “Sem ações corretivas, os sobreviventes de desastres envolvidos no incidente de privacidade correm maior risco de roubo de identidade e fraude.


Dos 20 campos incluídos na exposição de dados da FEMA, o relatório do OIG descobriu que a agência liberou indevidamente e não salvaguardou seis campos que incluíam PII sensíveis: endereço, nome da cidade, CEP, nome do banco, número de trânsito bancário e fundos eletrônicos. número de transferência.


O relatório afirma que a FEMA confirmou que o contratado recebeu os dados do candidato, mas não explica como os dados foram transmitidos ou se foram criptografados em algum momento.


Depois de ser alertada sobre a exposição de dados, segundo o relatório, a FEMA enviou uma equipe de segurança cibernética para as instalações do contratado para excluir e higienizar os dados do candidato, bem como realizar uma avaliação completa da rede do contratado.


A equipe de segurança da FEMA não encontrou evidências de uma invasão recente na rede do contratante, mas a empresa mantém apenas dados de registro por 30 dias. Como resultado, a equipe de segurança não pôde descartar uma invasão ou violação anterior da rede do contratado.


A equipe também encontrou 11 vulnerabilidades de segurança na rede, quatro das quais já foram mitigadas, segundo o relatório. As outras sete vulnerabilidades serão corrigidas até junho de 2020, de acordo com a FEMA.


O OIG descobriu a exposição dos dados da FEMA durante uma auditoria do programa da TSA para garantir a conformidade com os requisitos do contrato. O relatório observou que o contratante não notificou a FEMA que havia liberado mais dados de candidatos do que o necessário para o programa de ajuda.


O Vazamento


Segundo o site Wired, os dados, coletados para o programa de Auxílio Temporário de Transição, vieram de sobreviventes dos incêndios e furacões de 2017 na Califórnia, Harvey, Irma e Maria. O empreiteiro que recebeu os dados errados estava ajudando a garantir alojamento temporário para os sobreviventes nos hotéis – uma prática padrão, para que a FEMA possa minimizar o número de pessoas que ficam em abrigos de emergência.


Os dados que a FEMA deveria ter enviado ao contratante para verificar a elegibilidade dos sobreviventes para hospedagem incluem nomes completos, datas de nascimento, data de início e término da elegibilidade, um número de registro da FEMA e os últimos quatro dígitos dos números da Previdência Social dos sobreviventes.


Quem é afetado?


Mais de dois milhões de sobreviventes de desastres naturais recentes nos Estados Unidos. A FEMA diz que não notificará os indivíduos afetados ou oferecerá um mecanismo para as pessoas verificarem se elas foram afetadas, porque a agência não considera o incidente como uma violação de dados. “Nenhuma informação foi divulgada ou comprometida“, disse o porta-voz da FEMA, Daniel Llargues, à WIRED. “Nós compartilhamos dados em excesso com um empreiteiro como mencionado na declaração, mas nenhuma informação sobre sobreviventes de desastres foi comprometida.”


Quão sério é isso?


A FEMA diz que os dados vazados não foram roubados ou abusados enquanto o contratante os possuía, mas também não há como confirmar isso. A agência concordou com todas as muitas recomendações do OIG sobre como controlar melhor os dados confidenciais e comprometeu-se a implementá-las até 30 de junho de 2020.


Dada a natureza sensível dessas descobertas, pedimos que a FEMA agilize esse cronograma“, disse o OIG em seu relatório. “Sem ações corretivas, os sobreviventes de desastres envolvidos no incidente de privacidade correm maior risco de roubo de identidade e fraude.”


O compartilhamento desnecessário e não autorizado de dados é perigosamente comum nas arenas corporativa e governamental, e a gafe da FEMA é particularmente enlouquecedora, dada a situação já vulnerável dos indivíduos afetados.


O fato de que os dados foram compartilhados sem salvaguardas é alarmante, e a FEMA precisa descobrir imediatamente como prevenir violações de dados pessoais no futuro”, diz David Kennedy, CEO da TrustedSec, consultoria de testes de penetração e resposta a incidentes. “As descobertas do relatório mostram que a FEMA não fez nenhuma análise avançada de quais informações devem ser fornecidas ao subcontratado e compartilhou praticamente tudo.”


8 views
  • Twitter Ksecurity
  • Branca Ícone LinkedIn
  • White Facebook Icon

© 2019 by KSecurity - Todos os Direitos Reservados

FALE COM A K