近日,德州保险局(TDI)因编程问题,导致得克萨斯州近200万人个人信息曝光近3年。据TDI称,在先前发布的州审计报告中,在线公开了2019年3月至2022年1月提出索赔的180万工人的详细信息。这些包括社会安全号码、地址、出生日期、电话号码和受伤工人的信息。在2022年3月24日的公告中,TDI表示它于2022年1月4日首次发现管理工人薪酬信息的TDI网络应用程序存在安全问题。该问题允许公众访问该应用程序的受保护在线部分。TDI是负责监督德克萨斯州保险业并执行州法规的州机构,在发现问题后立即下线了该应用程序,修复了信息泄露,并开始与取证公司合作。调查违规的性质和程度。接下来,TDI向2019年3月至2022年1月期间提交新的人工理赔申请的用户发函,告知可能存在信息泄露风险。根据最新统计数据,此次数据泄露共影响德克萨斯州180万人。5月17日,TDI在一份新闻稿中写道,从2022年1月开始,TDI开始调查以确定问题的严重性质和范围,并与一家知名网络安全公司合作,试图寻找除TDI员工以外的人员.人们查看这些用户的个人信息。结果显示,目前没有证据表明泄露的员工个人信息被滥用。TDI进一步表示,将为可能受影响的用户提供为期12个月的免费信用监控和身份保护服务。Egnyte网络安全宣传主管尼尔琼斯表示,最近的TDI数据泄露事件令人担忧,因为工人的薪酬数据包括网络攻击者最喜欢的数据资源PII(个人身份信息)和PHI(受保护的健康信息)。虽然目前没有证据表明泄露的信息被恶意使用,但攻击者选择更合适的时机在暗网上出售被盗数据的情况并不少见。同时,数据泄露事件也给我们敲响了警钟。随着数字化的到来,政府机构数字化的趋势已经非常明显。但在这个过程中,很多机关的网络安全防护体系还没有完全建立起来,以至于类似的安全事件屡屡发生,给公民信息安全带来了严重威胁。影响。从TDI数据泄露事件中可以发现,很多低级别的网络安全失误并不少见。一个配置错误暴露了近200万人长达三年的数据,其中包括大量宝贵的个人隐私信息。在那三年的时间里,该机构从未发现导致如此灾难性事件发生的隐患。也就是说,很多组织在互联网化的道路上一味追求速度,已经存在很多安全隐患。这个时候,我们更应该回过头来反思安全,而不是继续埋头跑步。毕竟只有扎实的基础,才能跑得更远。参考来源:https://www.infosecurity-magazine.com/news/personal-information-two-million/
