O agenție guvernamentală din Puerto Rico a expus 1 milion de numere de asigurare socială

Advertisements
Ad 57

Agenția guvernamentală care colectează impozitele pe proprietate în Puerto Rico a expus din greșeală numerele de asigurare socială ale aproximativ 1 milion de persoane, au aflat Centro de Periodismo Investigativo și ProPublica.

A fost cea mai recentă breșă de securitate cibernetică a guvernului din Puerto Rico, care, în ultimii trei ani, s-a confruntat cu incidente tehnologice care au întrerupt serviciile guvernamentale, au scos site-urile web din funcțiune și au dus la publicarea informațiilor personale ale cetățenilor pe dark web.

CPI și ProPublica au descoperit vulnerabilitatea legată de harta interactivă a proprietăților a Centrului Municipal de Colectare a Veniturilor, cunoscută sub numele de Catastro Digital, și au notificat agenția la jumătatea lunii iunie.

Instrumentul online oferă informații, precum suprafața, limitele, evaluarea fiscală, prețul de vânzare și numele proprietarului, pentru fiecare proprietate înregistrată pe insulă.

Deși o simplă căutare pe hartă nu ar dezvălui informații sensibile, oricine înțelege modul în care site-urile web solicită date ar putea descărca informații personale neprotejate, cum ar fi numerele de asigurare socială, fără a avea nevoie de un nume de utilizator sau o parolă.

Organizațiile de știri au reușit să verifice breșa de securitate și au furnizat agenției, cunoscută sub acronimul său spaniol, CRIM, o descriere detaliată a problemei, care includea serverul specific și folderele care conțineau datele compromise.

În ciuda notificării, CRIM a negat în repetate rânduri existența vreunei probleme în sistemul său.

„În urma unei analize a platformei Catastro Digital, s-a stabilit că NU a existat nicio încălcare a confidențialității informațiilor personale ale contribuabililor, întrucât Catastro Digital NU conține și nu afișează tipul de informații la care s-a făcut aluzie”, a declarat Javier García Cintrón, directorul executiv al CRIM.

Însă, la câteva zile după ce CPI și ProPublica au contactat CRIM, organizațiile de presă au putut constata că breșele de securitate fuseseră remediate.

García a negat acest lucru, afirmând că nu era nevoie să se remedieze nicio problemă. O lege din Puerto Rico impune oricărei entități, inclusiv agențiilor guvernamentale, să notifice prompt utilizatorii în cazul în care informațiile lor personale au fost compromise. Totuși, García a declarat că agenția nu va contacta utilizatorii pentru a le comunica că numerele lor de asigurare socială ar fi putut fi expuse, întrucât „nicio informație protejată nu a fost pusă în pericol”.

De asemenea, CRIM nu a notificat Serviciul de Inovare și tehnologie din Puerto Rico (PRITS), care supraveghează toate sistemele informatice guvernamentale. Protocolul de securitate cibernetică al guvernului impune informarea PRITS cu privire la „orice incident de securitate suspectat”.

Un purtător de cuvânt al PRITS a refuzat să răspundă la întrebări și a afirmat că acestea trebuie depuse în conformitate cu legea privind informațiile publice din Puerto Rico, care are scopul de a permite cetățenilor să obțină documente guvernamentale, și nu de a răspunde la întrebările presei.

⚠️ LUGOJENI, VOCEA VOASTRĂ CONTEAZĂ!

Oprește parcările cu plată impuse prin HCL Lugoj nr. 133/2026!

Primăria și Consiliul Local Lugoj vor să introducă noi reguli privind parcările publice cu plată. Dacă consideri că cetățenii trebuie consultați și că accesul la parcările publice trebuie să fie echitabil, susține petiția și fă-ți auzită vocea!

📝 Fiecare semnătură contează pentru viitorul Lugojului!
SEMNEAZĂ PETIȚIA ACUM

Până în prezent, în acest an, au fost înregistrate peste 2 milioane de tentative de atacuri cibernetice în cadrul guvernului din Puerto Rico, arată datele PRITS. Jumătate dintre acestea au fost considerate incidente critice, care implică „un impact grav asupra operațiunilor critice, compromiterea datelor sensibile sau o amenințare iminentă la adresa securității agenției sau a datelor guvernamentale”, potrivit agenției.

În luna martie, cetățenii au constatat că programările pentru eliberarea permiselor de conducere și a certificatelor de înmatriculare au fost amânate în urma unei tentative de atac cibernetic asupra sistemelor Departamentului Transporturilor. Anul trecut, locuitorii din Puerto Rico nu au putut verifica dacă au cazier judiciar – informație necesară pentru angajare – timp de aproape o săptămână, din cauza unui „acces neautorizat” la baza de date a cazierelor judiciare a Departamentului de Justiție local. În 2023, clienții și angajații serviciului de alimentare cu apă din Puerto Rico au constatat că informațiile lor personale au fost publicate pe dark web în urma unui atac de tip ransomware.

Creșterea numărului de atacuri i-a determinat pe legislatorii din Puerto Rico să aprobe, în 2024, o lege cuprinzătoare privind securitatea cibernetică, Legea 40, care obliga toate agențiile guvernamentale să implementeze standarde și principii minime de securitate cibernetică. De asemenea, legea a stabilit sancțiuni pentru nerespectarea prevederilor și a impus tuturor agențiilor guvernamentale să efectueze o evaluare a riscurilor cel puțin o dată pe an.

Trei experți în securitate cibernetică au afirmat însă că agențiile nu au reușit să pună în aplicare pe deplin standardele de securitate prevăzute de lege, chiar dacă atacurile devin tot mai frecvente și mai sofisticate. În loc să evalueze periodic și să remedieze vulnerabilitățile care permit aceste atacuri, agențiile au o abordare reactivă, au spus aceștia.

Un raport al Biroului Inspectorului General din Puerto Rico, publicat la sfârșitul anului trecut, a identificat deficiențe în cadrul a 90 de agenții guvernamentale locale, dintre care 60% nu au efectuat evaluări ale vulnerabilităților sistemelor lor informatice.

Guvernul ar fi într-o „situație mult mai bună” dacă s-ar concentra pe formarea angajaților și ar implementa instrumente precum autentificarea multifactorială încă din faza inițială, a afirmat Carlos Pérez, un expert în securitate cibernetică din Puerto Rico, care ocupă funcția de director de informații de securitate la TrustedSec, o companie care oferă consultanță guvernelor și companiilor private.

„Tratăm simptomul, dar nu boala”, a spus el.

În majoritatea cazurilor, legea privind securitatea cibernetică nu impune standarde unificate la nivelul întregului guvern, a declarat un fost angajat IT al guvernului, care a cerut să rămână anonim din cauza temerilor legate de repercusiuni profesionale. Lipsa unui set unic de standarde a permis agențiilor să decidă singure cum își protejează datele cu caracter personal.

García a explicat că, în cadrul măsurilor de securitate ale CRIM, agenția utilizează parole, nume de utilizator și mesaje text pentru a valida identitatea. El a negat că cineva ar putea accesa baza de date Catastro Digital fără parolă, cu excepția efectuării de căutări individuale prin intermediul site-ului public.

Posibilitatea de a accesa numerele de asigurare socială prin intermediul hărții funciare a CRIM suscită îngrijorări, având în vedere proliferarea companiilor private care vând informații imobiliare din Puerto Rico, obținute din baze de date publice precum Catastro Digital. Oricare dintre aceste companii ar fi putut accesa datele, inclusiv informațiile personale.

Cel puțin trei companii de listare a proprietăților contactate de CPI și ProPublica au declarat că nu erau la curent cu nicio vulnerabilitate și că nu au accesat datele sensibile.

WhatsApp Logo

Hai în comunitatea de WhatsApp: VoceaPoporului

Alătură-te!