امنیت

افشای اطلاعات تامین اجتماعی در سرور ابری ناامن توسط DOGE

14 ساعت پیش
14 ساعت پیش
0 نظر

یکی از مقامات ارشد سازمان تامین اجتماعی که به افشاگر تبدیل شده، می‌گوید اعضای “اداره کارایی دولت” (DOGE) در دولت ترامپ، صدها میلیون رکورد تامین اجتماعی را روی یک سرور ابری آسیب‌پذیر بارگذاری کرده‌اند و به این ترتیب اطلاعات شخصی اکثر آمریکایی‌ها در معرض خطر قرار گرفته است.

چارلز بورخس، مدیر ارشد داده سازمان تامین اجتماعی، در شکایتی که به تازگی منتشر شده، اعلام کرد که سایر مقامات ارشد سازمان در ماه ژوئن تصمیم گرفتند “یک کپی زنده از اطلاعات تامین اجتماعی کشور را در یک محیط ابری بارگذاری کنند که نظارت را دور می‌زند”، این در حالی است که بورخس نگرانی‌های خود را در این مورد ابراز کرده بود.

این پایگاه داده، که به عنوان سیستم شناسایی عددی شناخته می‌شود، شامل بیش از ۴۵۰ میلیون رکورد است که حاوی تمام داده‌های ارسالی به عنوان بخشی از درخواست تامین اجتماعی است، از جمله نام متقاضی، محل تولد، ملیت و شماره‌های تامین اجتماعی اعضای خانواده‌اش، و همچنین سایر اطلاعات حساس شخصی و مالی.

بورخس گفت اعضای DOGE، تیمی از کارمندان سابق ایلان ماسک که تحت پوشش کاهش تقلب و هدر رفت به دولت منصوب شده‌اند، این پایگاه داده حساس را در یک سرور ابری آمازون که توسط سازمان اداره می‌شود کپی کرده‌اند، “ظاهراً فاقد کنترل‌های امنیتی مستقل”، مانند اینکه چه کسی به داده‌ها دسترسی دارد و چگونه از آنها استفاده می‌کند.

در این شکایت ادعا شده است که فقدان اقدامات امنیتی، قوانین امنیتی داخلی سازمان و قوانین حریم خصوصی فدرال را نقض می‌کند.

بورخس گفت با دادن اجازه به DOGE برای مدیریت ابر سازمان، عوامل DOGE قادر خواهند بود “خدمات در دسترس عموم” ایجاد کنند، به این معنی که آنها می‌توانند دسترسی عمومی به سیستم ابری و هر یک از داده‌های حساس ذخیره شده در آن را فراهم کنند.

بورخس در این شکایت هشدار داد که اگر این اطلاعات به خطر بیفتند، “این احتمال وجود دارد که اطلاعات حساس [قابل شناسایی شخصی] در مورد هر آمریکایی، از جمله تشخیص‌های پزشکی، سطوح درآمد و اطلاعات بانکی، روابط خانوادگی و داده‌های بیوگرافی شخصی، به طور عمومی در معرض دید قرار گرفته و به طور گسترده به اشتراک گذاشته شوند.”

در این شکایت آمده است که هرگونه به خطر افتادن یا دسترسی غیرمجاز به پایگاه داده، “تاثیر فاجعه باری” بر برنامه تامین اجتماعی ایالات متحده خواهد داشت و بدترین سناریو را صدور مجدد شماره‌های تامین اجتماعی برای همه عنوان کرده است.

در حالی که یک دستور منع موقت فدرال در ماه مارس در ابتدا کارکنان DOGE را از دسترسی به پایگاه داده سوابق تامین اجتماعی کشور منع کرد، دیوان عالی در 6 ژوئن این دستور را لغو کرد و راه را برای دسترسی DOGE هموار کرد.

به گفته شکایت بورخس، در روزهای بعد، DOGE ظاهراً برای گرفتن تاییدیه داخلی از مقامات ارشد سازمان تلاش کرد.

آرام مقدسی، مدیر ارشد اطلاعات سازمان، این اقدام را برای کپی کردن پایگاه داده در ابر سازمان تایید کرد و گفت که “تشخیص داده که نیاز تجاری بالاتر از خطر امنیتی است” و “تمام خطرات” مربوط به پروژه را می‌پذیرد. در این شکایت همچنین آمده است که مایکل روسو، یکی از عوامل ارشد DOGE که قبلاً به عنوان مدیر ارشد اطلاعات سازمان قبل از مقدسی خدمت می‌کرد اما همچنان در سازمان حضور دارد، نیز انتقال داده‌های زنده تامین اجتماعی به ابر را تایید کرده است.

بورخس گفت که ابتدا این مسائل را به طور داخلی در سازمان مطرح کرده است، اما بعداً با افشاگری، از اعضای کنگره خواست “برای رسیدگی به این نگرانی‌های جدی، نظارت فوری انجام دهند”.

این جدیدترین اتهام در مورد رویه‌های ضعیف امنیت سایبری توسط دولت و نمایندگان آن، از جمله DOGE، از زمان روی کار آمدن رئیس جمهور ترامپ در اوایل ژانویه است. از ژانویه، اعضای DOGE کنترل گسترده‌ای بر اکثر ادارات فدرال ایالات متحده و مجموعه‌های داده‌های مربوط به اطلاعات شهروندان به دست آورده‌اند.

وقتی خبرنگار با الیزابت هوستون، سخنگوی کاخ سفید، تماس گرفت، او نگفت که آیا دولت از این شکایت آگاه بوده است یا خیر و اظهار نظر را به سازمان تامین اجتماعی ارجاع داد.

نیک پرین، سخنگوی سازمان تامین اجتماعی، در پاسخ ایمیلی گفت که این سازمان “داده‌های شخصی را در محیط‌های امن با حفاظت‌های قوی برای محافظت از اطلاعات حیاتی ذخیره می‌کند.”

این سخنگو افزود: “داده‌های ذکر شده در این شکایت در یک محیط قدیمی که توسط SSA استفاده می‌شود و از اینترنت جدا شده است، ذخیره می‌شوند. مقامات ارشد حرفه‌ای SSA با نظارت تیم امنیت اطلاعات SSA، دسترسی مدیریتی به این سیستم دارند.”

این سخنگو گفت که سازمان “از هیچ گونه به خطر افتادن این محیط آگاه نیست.”

نقض داده‌ها شامل داده‌های دولت فدرال ذخیره شده در فضای ابری نادر است اما بی‌سابقه نیست. در سال 2023، خبرنگار گزارش داد که وزارت دفاع ایالات متحده به دلیل یک اشتباه امنیتی، هزاران ایمیل نظامی حساس را به طور عمومی در اینترنت افشا کرده است. در حالی که داده‌های ایمیل در فضای ابری جداگانه آمازون که به مشتریان دولتی اختصاص داده شده بود ذخیره می‌شد، یک پیکربندی نادرست اجازه داد محتویات ایمیل‌های یک واحد نظامی به طور عمومی در اینترنت منتشر شود.

منبع: techcrunch.com

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *