Agência Americana vaza informações de 2,3Mi de sobreviventes de desastres

Agência Americana vaza informações de 2,3Mi de sobreviventes de desastres. O Escritório de Inspeção-Geral do Departamento de Segurança Interna (OIG) constatou que a exposição de dados de PII (Personally Identifiable Information) da FEMA – Agência Federal de Gerenciamento de Emergências dos EUA (Federal Emergency Management Agency) – afetou 2,3 ​​milhões de sobreviventes de desastres que se inscreveram no programa de Assistência de Abrigo Temporário (TSA – Transitional Sheltering Assistance) da agência após vários furacões de 2017 e incêndios na Califórnia.

A TechTarget afirma que de acordo com o relatório do OIG, “a FEMA não protegeu as informações pessoalmente identificáveis ​​sensíveis dos sobreviventes de desastre“, a FEM divulgou PII das vítimas e PII “Sensíveis”, incluindo dados financeiros, a um contratado terceirizado que administrava o programa TSA.

Depois de ter sido expulso por um desastre natural, os sobreviventes têm muitas preocupações prementes. Eles podem estar lidando com impactos na saúde, deslocamento, perda de propriedade e até mesmo luto pela morte de entes queridos. Por tudo isso, no entanto, uma preocupação que provavelmente não está em suas mentes é a questão de saber se os dados pessoais estão seguros com a Agência Federal de Gerenciamento de Emergências. Infelizmente, o que deveria ser dado é, aparentemente, outro fardo a ser adicionado a uma lista já dolorosamente longa.

Na sexta-feira, 22 de março, a FEMA reconheceu publicamente um relatório do Departamento do Departamento de Segurança Interna (Homeland Security Department Office), onde a agência de resposta a emergências erroneamente compartilhou dados pessoais de 2,3 milhões de sobreviventes de desastres com um empreiteiro temporário relacionado à moradia. Ao fazê-lo, a agência violou a Lei de Privacidade de 1974 e a política do Departamento de Segurança Interna e expôs os sobreviventes ao roubo de identidade.

Enquanto o empreiteiro, cujo nome foi retirado do relatório, tinha direito a algumas informações para verificar a elegibilidade das vítimas de desastres no programa TSA, a FEMA liberou 20 “campos de dados desnecessários” para o contratante.

O incidente de privacidade ocorreu porque a FEMA não tomou medidas para garantir que fornecesse apenas os elementos de dados necessários [para o contratado]“, afirmou o relatório. “Sem ações corretivas, os sobreviventes de desastres envolvidos no incidente de privacidade correm maior risco de roubo de identidade e fraude.

Dos 20 campos incluídos na exposição de dados da FEMA, o relatório do OIG descobriu que a agência liberou indevidamente e não salvaguardou seis campos que incluíam PII sensíveis: endereço, nome da cidade, CEP, nome do banco, número de trânsito bancário e fundos eletrônicos. número de transferência.

O relatório afirma que a FEMA confirmou que o contratado recebeu os dados do candidato, mas não explica como os dados foram transmitidos ou se foram criptografados em algum momento. Depois de ser alertada sobre a exposição de dados, segundo o relatório, a FEMA enviou uma equipe de segurança cibernética para as instalações do contratado para excluir e higienizar os dados do candidato, bem como realizar uma avaliação completa da rede do contratado.

A equipe de segurança da FEMA não encontrou evidências de uma invasão recente na rede do contratante, mas a empresa mantém apenas dados de registro por 30 dias. Como resultado, a equipe de segurança não pôde descartar uma invasão ou violação anterior da rede do contratado. A equipe também encontrou 11 vulnerabilidades de segurança na rede, quatro das quais já foram mitigadas, segundo o relatório. As outras sete vulnerabilidades serão corrigidas até junho de 2020, de acordo com a FEMA.

O OIG descobriu a exposição dos dados da FEMA durante uma auditoria do programa da TSA para garantir a conformidade com os requisitos do contrato. O relatório observou que o contratante não notificou a FEMA que havia liberado mais dados de candidatos do que o necessário para o programa de ajuda.

O Vazamento

Segundo o site Wired, os dados, coletados para o programa de Auxílio Temporário de Transição, vieram de sobreviventes dos incêndios e furacões de 2017 na Califórnia, Harvey, Irma e Maria. O empreiteiro que recebeu os dados errados estava ajudando a garantir alojamento temporário para os sobreviventes nos hotéis – uma prática padrão, para que a FEMA possa minimizar o número de pessoas que ficam em abrigos de emergência.

Os dados que a FEMA deveria ter enviado ao contratante para verificar a elegibilidade dos sobreviventes para hospedagem incluem nomes completos, datas de nascimento, data de início e término da elegibilidade, um número de registro da FEMA e os últimos quatro dígitos dos números da Previdência Social dos sobreviventes.

Quem é afetado?

Mais de dois milhões de sobreviventes de desastres naturais recentes nos Estados Unidos. A FEMA diz que não notificará os indivíduos afetados ou oferecerá um mecanismo para as pessoas verificarem se elas foram afetadas, porque a agência não considera o incidente como uma violação de dados. “Nenhuma informação foi divulgada ou comprometida“, disse o porta-voz da FEMA, Daniel Llargues, à WIRED. “Nós compartilhamos dados em excesso com um empreiteiro como mencionado na declaração, mas nenhuma informação sobre sobreviventes de desastres foi comprometida.”

Quão sério é isso?

A FEMA diz que os dados vazados não foram roubados ou abusados enquanto o contratante os possuía, mas também não há como confirmar isso. A agência concordou com todas as muitas recomendações do OIG sobre como controlar melhor os dados confidenciais e comprometeu-se a implementá-las até 30 de junho de 2020.

Dada a natureza sensível dessas descobertas, pedimos que a FEMA agilize esse cronograma“, disse o OIG em seu relatório. “Sem ações corretivas, os sobreviventes de desastres envolvidos no incidente de privacidade correm maior risco de roubo de identidade e fraude.”

O compartilhamento desnecessário e não autorizado de dados é perigosamente comum nas arenas corporativa e governamental, e a gafe da FEMA é particularmente enlouquecedora, dada a situação já vulnerável dos indivíduos afetados.

O fato de que os dados foram compartilhados sem salvaguardas é alarmante, e a FEMA precisa descobrir imediatamente como prevenir violações de dados pessoais no futuro”, diz David Kennedy, CEO da TrustedSec, consultoria de testes de penetração e resposta a incidentes. “As descobertas do relatório mostram que a FEMA não fez nenhuma análise avançada de quais informações devem ser fornecidas ao subcontratado e compartilhou praticamente tudo.”

Fonte: TechTarget & Wired

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. O que NÃO te contaram sobre as Resoluções 4658 e 3990 do BACEN
  2. Câmera escondida monitora família hospedada pelo Airbnb - Minuto da Segurança da Informação
  3. PERDEU ? Assista a gravação: O que NÃO te contaram sobre as Resoluções 4658 e 3990 do BACEN!

Deixe sua opinião!