- 19,447
- 40
- 8 Ноя 2022
История одной незашифрованной базы данных.
Бывший сотрудник DOGE отправил незашифрованную базу данных с личной информацией двум чиновникам администрации Трампа, что стало нарушением политики Минфина США. Данный факт всплыл в судебных документах.
Инцидент связан с иском, который Для просмотра ссылки Войдиили Зарегистрируйся генпрокурор штата Нью-Йорк вместе с 18 другими генпрокурорами штатов. Иск касается доступа DOGE к Бюро фискальных служб (BFS) Минфина США, которое отвечает за распределение триллионов долларов американским семьям, госслужащим и подрядчикам, а также за выплату соцпособий и программе Medicare, налоговых льгот, грантов и других платежей.
В новом Для просмотра ссылки Войдиили Зарегистрируйся представлено показание под присягой Дэвида Амброуза, главного сотрудника BFS по безопасности и защите данных. Он сообщил суду, что бывший сотрудник DOGE Марко Элез нарушил правила Минфина, отправив нешифрованную базу данных с персональными данными и не получив предварительное одобрение на пересылку.
Элез получил доступ к системам BFS в январе и начале февраля, однако вскоре подал в отставку после того, как выяснилось, что он вел аккаунт в X*, в котором публиковал расистские высказывания и поддерживал «евгеническую иммиграционную политику».
После ухода Элеза ИБ-специалисты Минфина провели компьютерно-техническую экспертизу его электронной почты и корпоративного ноутбука. Анализ показал, что Элез не вносил изменений в систему платежей BFS, что опровергло слухи о полном доступе к продакшн-системам Минфина. У Элеза был лишь ноутбук с защищённой тестовой средой и копия исходного кода, а также возможность только просматривать данные без права вносить изменения.
Однако ранее представленные свидетельства показывают, что Элез всё же косвенно повлиял на идентификацию определённых платежей, чтобы облегчить их проверку для госсекретаря США. Также было установлено, что Элезу на короткий срок случайно предоставили доступ с возможностью записи, но статус быстро изменили на «только для чтения». На данный момент нет доказательств того, что он использовал доступ или был о нём осведомлён.
Пересылка базы данных с персональными данными представляет собой отдельное нарушение. Согласно судебным документам, в базе содержались имя (человека или организации), тип транзакции и сумма. Хотя информация не включала номера социального страхования (SSN) или другие критически важные данные, её передача без шифрования и без утверждённой формы 7005 нарушила политику BFS.
В показаниях свидетелей также затронут вопрос уровня допуска к секретной информации. Элез получил временный допуск «секретного» уровня 22 января, что дало ему право на доступ к системам и оборудованию BFS. Этот момент стал одним из ключевых аргументов в судебном разбирательстве, поскольку вызывает вопросы о степени проверки Для просмотра ссылки Войдиили Зарегистрируйся перед допуском к государственным данным.
Недавно стало известно, что более 100 сотрудников CISA Для просмотра ссылки Войдиили Зарегистрируйся в конце февраля и начале марта. Среди уволенных в том числе оказались Red Team специалисты, отвечавшие за моделирование кибератак для выявления уязвимостей, а также эксперты по реагированию на инциденты. Увольнения были инициированы Департаментом эффективности правительства (DOGE), возглавляемым Илоном Маском.
<span style="font-size: 8pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
Бывший сотрудник DOGE отправил незашифрованную базу данных с личной информацией двум чиновникам администрации Трампа, что стало нарушением политики Минфина США. Данный факт всплыл в судебных документах.
Инцидент связан с иском, который Для просмотра ссылки Войди
В новом Для просмотра ссылки Войди
Элез получил доступ к системам BFS в январе и начале февраля, однако вскоре подал в отставку после того, как выяснилось, что он вел аккаунт в X*, в котором публиковал расистские высказывания и поддерживал «евгеническую иммиграционную политику».
После ухода Элеза ИБ-специалисты Минфина провели компьютерно-техническую экспертизу его электронной почты и корпоративного ноутбука. Анализ показал, что Элез не вносил изменений в систему платежей BFS, что опровергло слухи о полном доступе к продакшн-системам Минфина. У Элеза был лишь ноутбук с защищённой тестовой средой и копия исходного кода, а также возможность только просматривать данные без права вносить изменения.
Однако ранее представленные свидетельства показывают, что Элез всё же косвенно повлиял на идентификацию определённых платежей, чтобы облегчить их проверку для госсекретаря США. Также было установлено, что Элезу на короткий срок случайно предоставили доступ с возможностью записи, но статус быстро изменили на «только для чтения». На данный момент нет доказательств того, что он использовал доступ или был о нём осведомлён.
Пересылка базы данных с персональными данными представляет собой отдельное нарушение. Согласно судебным документам, в базе содержались имя (человека или организации), тип транзакции и сумма. Хотя информация не включала номера социального страхования (SSN) или другие критически важные данные, её передача без шифрования и без утверждённой формы 7005 нарушила политику BFS.
В показаниях свидетелей также затронут вопрос уровня допуска к секретной информации. Элез получил временный допуск «секретного» уровня 22 января, что дало ему право на доступ к системам и оборудованию BFS. Этот момент стал одним из ключевых аргументов в судебном разбирательстве, поскольку вызывает вопросы о степени проверки Для просмотра ссылки Войди
Недавно стало известно, что более 100 сотрудников CISA Для просмотра ссылки Войди
<span style="font-size: 8pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
- Источник новости
- www.securitylab.ru
