Эксперты по кибербезопасности говорят, что Министерство юстиции Калифорнии, по-видимому, не соблюдало основные процедуры безопасности на своем веб-сайте, раскрыв личную информацию потенциально сотен тысяч владельцев оружия.
Веб-сайт был разработан для отображения только общих данных о количестве и местонахождении разрешений на скрытое ношение оружия с разбивкой по годам и округам. Но в течение примерно 24 часов, начиная с понедельника, электронная таблица с именами и личной информацией находилась всего в нескольких кликах, готовая к просмотру или загрузке.
Кэти Муссурис, основатель и генеральный директор Luta Security, сказала, что должны были быть средства контроля доступа, чтобы информация оставалась недоступной для нежелательных сторон, а конфиденциальные данные должны были быть зашифрованы, чтобы их нельзя было использовать.
- Правительство откладывает Крайний срок для провайдеров VPN для хранения и обмена Пользовательскими данными
По ее словам, нанесенный ущерб зависит от того, кто получил доступ к данным. Преступники могут продавать или использовать личную идентификационную информацию или использовать криминальные истории лиц, ищущих разрешения, “для шантажа и рычагов давления”, — сказала она.
Некоторые уже пытаются использовать эту информацию для критики сторонников контроля над оружием, у которых, по их словам, были обнаружены разрешения на скрытое ношение оружия. Онлайн-сайт под названием The Gun Feed опубликовал сообщение с призывом к ведущему юристу Юридического центра Гиффордс предотвратить насилие с применением огнестрельного оружия. Но центр сказал, что на сайте был не тот человек — кто-то с тем же именем, что и его адвокат.
Пять других баз данных об огнестрельном оружии также были скомпрометированы, но офис генерального прокурора Роба Бонты не смог сказать, что произошло или даже сколько людей находится в базах данных.
- Индия и Япония обсуждают сотрудничество в области 5G, Подробнее о двустороннем кибердиалоге
“Мы проводим всестороннее и тщательное расследование всех аспектов инцидента и примем все необходимые меры в ответ на то, что мы узнаем”, — говорится в заявлении его офиса в пятницу.
В нем говорилось, что в одной из других баз данных указаны пистолеты, но не люди, в то время как в других, в том числе в приказах о запрете насилия с применением огнестрельного оружия, не содержалось имен, но, возможно, была другая идентифицирующая информация.
“Объем информации невероятно чувствителен», — сказал Сэм Паредес, исполнительный директор Gun Owners of California.
“Заместители прокурора, полицейские, судьи делают все возможное, чтобы защитить свои адреса проживания”, — сказал он. «Опасность , которой генеральный прокурор подвергает сотни тысяч людей … это неисчислимо.”
Адвокат Чак Мишель, президент Калифорнийской ассоциации стрелков и пистолетов, сказал, что он получил сотни звонков и электронных писем от владельцев оружия, желающих присоединиться к тому, что, как он ожидает, будет коллективным иском.
Неправомерное освобождение произошло через несколько дней после того, как Верховный суд США упростил людям ношение скрытого оружия, а также после того, как Бонта работал с законодателями штата над исправлением недавно принятого в Калифорнии уязвимого закона о скрытом ношении оружия.
До сих пор не было обнаружено никаких доказательств того, что утечка была преднамеренной. Независимые эксперты по кибербезопасности заявили, что публикация легко могла быть результатом слабого надзора.
Офис Бонты не смог сообщить, загружались ли базы данных и как часто. Муссурис сказала, что агентство располагает такой информацией, если оно ведет журналы доступа, что она назвала основным и необходимым шагом для защиты конфиденциальных данных.
Тим Марли, вице-президент по управлению рисками в фирме по кибербезопасности Cerberus Sentinel, поставил под сомнение скорость реагирования агентства на проблему с веб-сайтом, который должен был постоянно контролироваться.
“Учитывая конфиденциальный характер раскрываемых данных и потенциальное воздействие на тех, кто непосредственно вовлечен, я бы ожидал ответа менее чем за 24 часа от уведомления до принятия мер”, — сказал он.
Офис Бонты заявил, что пересматривает график, чтобы узнать, когда он обнаружил проблему.
Дизайн общедоступных веб-сайтов “всегда должен выполняться с целью обеспечения безопасности процесса”, — сказал Марли.
По его словам, разработчикам также необходимо должным образом протестировать свои системы перед запуском любого нового кода или изменением существующего кода. Тем не менее, часто организации спешат с изменениями, потому что они сосредоточены “на том, чтобы заставить ИТ работать, а не на том, чтобы он работал надежно”.
Каждый сенатор штата от Республиканской партии и член Ассамблеи призвали Бонту, демократа, баллотирующегося на переизбрание, увеличить раскрытие информации об утечке информации, которая, по их словам, нарушает закон штата. Они также запросили конкретную информацию об освобождении и расследовании, и сенаторы раскритиковали департамент за очевидное отсутствие тестирования и безопасности.