Новости Кликнул на кадастровую карту — получил чужой документ. Госсайт слил данные миллиона человек

NewsMaker

I'm just a script
Премиум
28,231
46
8 Ноя 2022
В Пуэрто-Рико через государственный кадастровый сайт могли быть доступны номера социального страхования миллиона человек.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
kov9wfxn88xunid6b9talb4dbfeprynz.jpg

В Пуэрто-Рико через официальный сервис с картой недвижимости могли быть доступны номера социального страхования примерно 1 млн человек.

Уязвимость находилась в интерактивной кадастровой карте Catastro Digital, которой управляет Центр сбора муниципальных доходов Пуэрто-Рико. Сервис показывает, где проходят границы участков, как их оценивают для налогов, по какой цене их продали и кто владеет недвижимостью.

При обычном поиске конфиденциальные сведения не отображались. Однако человек, знакомый с принципами работы сайтов, мог напрямую запросить данные с сервера и скачать номера социального страхования без имени пользователя и пароля. Журналисты проверили доступ и в середине июня передали ведомству адрес сервера и папок, где хранилась информация.

Ведомство публично отрицало проблему. Исполнительный директор центра Хавьер Гарсия Синтрон заявил, что карта не содержит и не показывает подобные сведения. Через несколько дней после того, как обратились журналисты, доступ к данным закрыли, однако руководство центра отказалось признать, что в системе что-либо исправляли.

По закону Пуэрто-Рико государственные структуры должны быстро предупреждать людей, если их личные данные могли скомпрометировать. Центр не планирует уведомлять владельцев номеров социального страхования, поскольку, по словам Гарсии, защищённая информация не подвергалась риску. Ведомство также не сообщило об инциденте Службе инноваций и технологий Пуэрто-Рико, хотя правительственные правила требуют передавать ей сведения о любых подозрительных событиях. Проблему обнаружили журналисты Centro de Periodismo Investigativo и ProPublica .

С начала года государственные системы Пуэрто-Рико зафиксировали более 2 млн случаев, когда их пытались атаковать. Половину случаев власти отнесли к критическим: они способны нарушить работу важных служб или привести к тому, что скомпрометируют конфиденциальные данные. Ранее атаки уже мешали людям записываться, чтобы получить водительские документы, временно блокировали доступ к базе судимостей и приводили к тому, что данные сотрудников и клиентов водоснабжающей компании публиковали в даркнете.

В 2024 году власти приняли закон, который обязал государственные учреждения соблюдать минимальные требования к тому, как защищают данные, и ежегодно оценивать риски. Однако когда офис генерального инспектора проверил ведомства, он выявил недостатки в 90 из них. Около 60% из них не анализировали уязвимости своих информационных систем. Специалисты считают, что разрозненные правила позволяют учреждениям самостоятельно решать, как защищать личные данные, поэтому многие из них устраняют последствия уже после инцидента.
 
Источник новости
www.securitylab.ru

Похожие темы