Złamanie zabezpieczeń naruszyło prywatność 30 tys. pracowników Pentagonu

Naruszenie danych nastąpiło u zewnętrznego dostawcy, świadczącego Departamentowi Obrony usługi związane z podróżami. Dostawca, który ze względu na bezpieczeństwo i obowiązujące kontrakty nie został jeszcze ujawniony opinii publicznej, nie miał obowiązku informowania Pentagonu o incydencie. To należący do Departamentu Obrony zespół odpowiedzialny za bezpieczeństwo informatyczne wykrył naruszenie danych.

Według raportu Associated Press możliwe jest, że do naruszenia doszło już kilka miesięcy temu, i że dalsze dochodzenia mogą ujawnić jeszcze większą skalę nadużycia.

Departament Obrony twierdzi, że rozpoczął powiadamianie osób dotkniętych naruszeniem bezpieczeństwa. Narażonym w incydencie pracownikom opłacone zostaną usługi monitorowania ewentualnych przypadków wykorzystania ukradzionych danych przez osoby niepowołane.

Rzecznik prasowy Pentagonu, ppłk. Joseph Buccino, wydał oświadczenie potwierdzające, że naruszenie nie dotknęło wszystkich pracowników korzystających z usług firmy zarządzającej podróżami:

Departament nadal gromadzi dodatkowe informacje dotyczące incydentu, z którym wiąże się potencjalne zagrożenie osobistych danych tych pracowników Departamentu, którzy obsługiwani byli przez jednego z komercyjnych dostawców usług zarządzania podróżami. Dostawca ten obsłużył jedynie niewielką część ogólnej liczby podróży odbytych przez pracowników Departamentu.

Jedną z dobrych wiadomości jest to, że prawdopodobnie nie wyciekły żadne informacje niejawne. Jednak wiadomość o naruszeniu pojawia się w bardzo niedogodnym dla amerykańskiego Departamentu Obrony momencie. W wyniku wydanego w ubiegłym tygodniu przez rządowe biuro rozliczeń raportu, działalność Departamentu jest obecnie bardzo uważnie analizowana. W raporcie tym stwierdzono, że słabe zabezpieczenia narażają systemy uzbrojenia najnowszej generacji na ataki hakerskie.

Wskazano na jeden przypadek, gdy nieautoryzowani użytkownicy mogli przez godzinę uzyskiwać dostęp do systemu uzbrojenia i że Pentagon nie przestrzegał podstawowych zasad zobowiązujących do zmiany domyślnych haseł .

Jeden z raportów testu bezpieczeństwa wskazał, że tester potrzebował dziewięciu sekund na odgadnięcie hasła administratora. Ponadto w przypadku wielu systemów obronnych, wykorzystujących oprogramowanie komercyjne lub typu open-source, po zainstalowaniu oprogramowania nie zmieniono domyślnych haseł - komentuje Dawid Kraiński, Product Marketing Manager Bitdefender z firmy Marken.

W przeszłości przytrafiały się rządowi USA przypadki naruszenia bezpieczeństwa, dotykające znacznie większej liczby osób niż szacunkowe 30 tys., o których teraz mowa. Jednak instytucję taką, jak Departament Obrony, nie zwalnia to z obowiązku zagwarantowania jak najlepszej ochrony nie tylko własnych systemów, ale także pilnowania tego, jak dobrze wrażliwe dane Departamentu chronione są przez podmioty zewnętrzne.