Правительственные нарушения – можете ли вы доверять свои данные правительству США?
Согласно новому исследованию VPN Inform, правительство США потерпело 443 утечки данных с 2014 года, причем 2018 год стал худшим годом на данный момент.
Утечки данных часто связаны с частным сектором – хакеры взламывают базы данных, принадлежащие компаниям, чтобы украсть данные пользователей и другую ценную информацию. Но правительство также часто становится целью взломов, часто ставя под угрозу гораздо более конфиденциальные данные. VPN Inform проанализировал нарушения со стороны правительства США за последние четыре года. Это не только нарушения базы данных, но и другие нарушения электронной и даже бумажной информации. Они могут варьироваться от украденных ноутбуков и жестких дисков до ошибок при отправке документов.
Основные выводы
Вот основные результаты исследования:
- С 2014 года было совершено 443 нарушения данных правительством / военными, включая 168 962 628 записей.
- 2018 был худшим годом для утечки данных: произошло 100 утечек, в которых было зафиксировано 81 505 426 записей
- 2014 год также был рекордным для утечек данных (всего 90), но при этом было задействовано гораздо меньше записей – 9 419 799
- Электронные взломы намного перевешивают утечки данных. Однако в 2014 году треть всех нарушений были утечками бумажных данных.
10 крупнейших утечек данных правительства США
Это десятка крупнейших нарушений данных государственных организаций по количеству раскрытых записей с 2014 года.
- U.S. Postal Service (DC) – 60,000,000 records – 2018
- Управление персонала (DC) – 21 500 000 записей – 2015 г.
- Государственный секретарь Калифорнии (CA) – 19 200 000 записей – 2017 г.
- Government Payment Service, Inc. (IN) – 14000000 записей – 2018
- Государственный секретарь Джорджии (ГА) – 6 000 000 записей – 2015 г.
- Управление по обеспечению алиментов на детей (WA) – 5 000 000 записей – 2016 г.
- Управление персонала (DC) – 4 200 000 записей – 2015 г.
- U.S. Postal Service (DC) – 3,650,000 records – 2014
- Округ Лос-Анджелес 211 (Калифорния) – 3 200 000 записей – 2018
- Департамент рыболовства и дикой природы штата Вашингтон (Вашингтон) – 2,435,452 – 2016 г.
Примечательно, что здесь дважды фигурируют две компании – Почтовая служба США и Управление персонала. Почтовая служба потерпела наибольшую утечку в 2018 году, когда из-за ошибки в Интернете было раскрыто 60 миллионов учетных данных ее пользователей. Почтовые службы были предупреждены об этой потенциальной проблеме годом ранее. В 2014 году хакеры взломали сеть Почтовой службы и украли данные 750 000 пенсионеров и сотрудников, а также данные 2,9 миллиона клиентов. В 2015 году Управление кадровой службы подверглось двум самым серьезным нарушениям, обе из которых были связаны с взломами, в результате которых были раскрыты данные о сотрудниках.
Из других нарушений, четыре произошли из-за утечки информации или недостаточной защиты, две из-за хакеров и одна была связана с кражей ноутбука и некоторых жестких дисков.
Государственные департаменты с наибольшим взломом
Некоторые правительственные ведомства и агентства взламывают чаще, чем другие. Это может быть связано с плохой безопасностью, большим количеством векторов атак, более ценными данными или большим объемом данных.
- Департамент здравоохранения: 29 случаев взлома данных подразделений, включая 174 547 записей. Это часто происходило из-за человеческой ошибки (например, отправка информации по неправильному адресу или непреднамеренное размещение информации в Интернете), но также включает взлом, кражу портативного компьютера и случай, когда два сотрудника украли информацию для подачи мошеннических налоговых деклараций. Департамент здравоохранения и социальных служб Нью-Гэмпшира также пострадал, когда бывший пациент разместил в социальной сети информацию о 15000 человек, подробно описав, кто получил услуги этого отдела.
- По делам ветеранов: 33 дела, 113786 дел. Некоторые из этих случаев связаны с тем, что данные ветеранов неправильно сбрасываются без предварительного измельчения или оставляются в общественных местах для всеобщего обозрения. К другим относятся взломы, непреднамеренная публикация данных в Интернете или по электронной почте, а также кража ноутбуков / жестких дисков.
- Городские сети: 56 городов пострадали от утечки данных за этот период, что затронуло 244 440 записей. Многие из них связаны со взломом, фишинговыми письмами, вредоносным ПО и несанкционированным доступом. Популярный платежный портал, используемый правительственными веб-сайтами (Click2Gov), также пострадал от взлома, затронувшего многие города.
Государства с наибольшим количеством утечек данных
- Вашингтон, округ Колумбия: 37 случаев, затронутых 95 166 900 записей. Мы уже упоминали о четырех крупнейших нарушениях данных DC (60 миллионов человек, пострадавших от взлома Почтовой службы США в 2018 году, и 3,65 миллиона человек, пострадавших в 2014 году, и 21,5 миллиона и 4,2 миллиона человек, пострадавших от нарушений Управления персонала в 2015 году). Среди других крупных нарушений – 2,3 миллиона записей, обнаруженных в 2019 году из-за того, что Федеральное агентство по чрезвычайным ситуациям (FEMA) без надобности раскрыло подрядчику данные о выживших после стихийных бедствий. В 2014 году налоговая служба (IRS) также поставила под угрозу записи 1,4 миллиона человек, поскольку у подрядчиков не было достаточных проверок биографических данных для работы с конфиденциальными данными. С 2014 года IRS потерпело 6 нарушений.
- Калифорния: 57 случаев, затронутых 24 299 303 записей. Две из этих утечек данных вошли в нашу первую десятку: 19,2 миллиона человек, пострадавших в результате взлома госсекретаря США, и 3,2 миллиона человек, пострадавших в результате утечки данных 211 округа Лос-Анджелес. Другие крупные нарушения включают фишинговую аферу, которая была нацелена на округ Лос-Анджелес в 2016 году и привела к компрометации 756 000 записей.
- Техас – 25 случаев, затронутых 3 423 326 записей. Самая крупная утечка произошла в 2014 году, когда было обнаружено, что компания, работавшая над программой Medicaid для Техасского здравоохранения и социальных служб (Xerox), все еще имела файлы, касающиеся 2 миллионов бывших и нынешних клиентов, и отказалась их вернуть. Затем, в 2018 году, брешь в системе безопасности позволила пользователям системы пенсионного обеспечения сотрудников Техаса просматривать информацию других пользователей, затронув 1248263 человека.
- Огайо: 17 случаев с 941 474 записями. Самый крупный из них произошел в 2018 году, когда сайт recruitm military.com был нарушен, в результате чего на форуме были опубликованы личные данные 850000 офицеров.
- Флорида: 22 случая, затронутых 318 610 записей. Крупнейшее из нарушений во Флориде затронуло 200 000 человек в 2015 году после того, как государственный служащий Департамента по делам детей и семей получил доступ к личной информации и получил имена и номера социального страхования.
Неудивительно, что список возглавляет Вашингтон, округ Колумбия. Здесь базируются штаб-квартиры многих высокопоставленных правительств, а остальные четыре штата являются одними из самых густонаселенных. Однако в некоторых небольших штатах меньше утечек данных, но затрагиваются гораздо больше записей:
- Алабама: 5 случаев, затронутых 1 397 389 записей. Это в значительной степени связано с нарушением американского Joblink Alliance, которое затронуло в общей сложности 10 штатов в 2017 году, в том числе 1393109 штатов в Алабаме. Это же нарушение данных включает в себя большую часть открытых записей для Арканзаса (597 374 из 631 268 затронутых записей), Аризоны (896 370 из 944 166 затронутых записей), Делавэра (затронуты 236 134 записи – что составляет всю сумму штата), Канзаса (563 568 из 585 513 затронутых записей) ), Мэн (283 449 из 285 649 затронутых записей) и Вермонт (183 153 из 183 611 затронутых записей).
- Колорадо: 12 случаев, затронутых 663 418 записей. Самое крупное нарушение произошло в 2017 году, когда нарушение безопасности привело к тому, что информация о 620 945 присяжных была доступна во внутренней сети департамента (меньшее количество, 41 140, было также доступно в Интернете).
- Грузия: 13 случаев, затронутых 6 989 928 записей. В первую очередь это связано с массивной утечкой данных, затронувшей госсекретаря Джорджии в 2015 году. Шесть миллионов человек подверглись риску, когда офис Брайана Кемпа предоставил идентифицирующие личность данные политическим партиям, СМИ и другим подписчикам, которые платят за избирателей. Информация. Две другие крупные утечки данных произошли в 2015 году в Департаменте общественного здравоохранения, причем дважды были взломаны записи 557 779 и 355 127 человек.
- Айдахо: затронуты 5 случаев с 962 369 записями. Самая большая утечка (788 064 записи) произошла, когда хакер взломал четыре веб-сайта Государственного департамента по рыболовству и охоте в 2016 году. 170 517 записей также были затронуты в результате взлома Американского альянса Joblink.
- Иллинойс: 15 случаев, затронутых 1 016 769 записей. Опять же, самая крупная из них была связана с взломом американского Joblink Alliance (затронувшее 807450 записей), за которым последовали 200000 записей, обнаруженных во время взлома Избирательной комиссии штата Иллинойс в 2016 году.
- Индиана: 3 случая, затронутых 14 003 907 записей. Однако 14 миллионов из них связаны с нарушением в 2018 году компанией Government Payment Service, Inc., которое затронуло жителей нескольких разных штатов.
- Кентукки: 3 случая с 2 127 457 записями. Департамент рыбы и дикой природы Кентукки также стал целью хакера, взломавшего четыре государственных веб-сайта в 2016 году. В этом случае были скомпрометированы записи 2 126 449 человек.
- Монтана: 5 случаев, затронутых 1 085 656 записей. Самым крупным из них стал взлом Министерства здравоохранения и социальных служб в 2014 году, затронувший 1062 509 записей.
- Оклахома: 7 случаев, затронутых 779 543 записей. 430679 были частью взлома America's Joblink Alliance, а 293 492 были частью взлома в Департаменте ценных бумаг в 2019 году, когда сервер хранения содержал открытые данные еще с 1986 года. 47000 записей также были взломаны Департаментом социальных служб в 2017 году, когда неавторизованный человек получил доступ к компьютеру отдела, что поставило под угрозу данные клиентов.
- Орегон: затронуты 11 случаев с 2 439 241 записями. Орегон также стал жертвой хакера, который в 2016 году атаковал четыре правительственных веб-сайта, открыв доступ к 1195204 записям из базы данных Департамента рыбной и дикой природы. Департамент занятости штата Орегон также пострадал от вторжения на его веб-сайт в 2014 году, в результате чего было обнаружено 851 322 записи. В 2019 году в результате фишинга воры получили доступ к 350 тысячам клиентов Департамента социальных служб.
- Вирджиния: 16 случаев, затронутых 1 612 523 записей. Самым крупным из них была утечка данных Национальной гвардии армии США, в результате которой в 2015 году были раскрыты личные данные 850 000 нынешних и бывших солдат. За этим последовало нарушение Департамента медицинской помощи штата Вирджиния, в результате которого было обнаружено 697 586 записей в результате взлома, также 2015 г.
- Вашингтон: 15 случаев, затронутых 7 462 510 записей. 5 миллионов из них были причастны к краже ноутбука и нескольких жестких дисков в 2016 году, а 2 435 452 человека были причастны к хакерским атакам Министерства рыболовства и дикой природы в четырех штатах в 2016 году.
Что, пожалуй, наиболее удивительно, так это тот факт, что Нью-Йорк нигде не фигурирует в этом списке, несмотря на то, что он является третьим по величине штатом по численности населения и вторым в нашем недавнем исследовании штатов, страдающих от наибольших утечек данных. За последние 4,5 года в Нью-Йорке было зарегистрировано только 11 утечек правительственных / военных данных, затронувших 7825 записей, по сравнению с 478 нарушениями, затронувшими 206 932 121 запись в целом с 2014 года. Это означает, что правительственные / военные нарушения составляют всего 2,3 процента всех утечек данных в Нью-Йорке. .
| Состояние | Общее количество нарушений в государстве | Общее количество затронутых записей в штате | Количество нарушений, 2014 г. | Количество затронутых записей, 2014 г. | Количество нарушений, 2015 г. | Количество затронутых записей 2015 | Количество нарушений, 2016 г. | Количество затронутых записей, 2016 г. | Количество нарушений, 2017 г. | Количество затронутых записей 2017 | Количество нарушений в 2018 г. | Количество затронутых записей 2018 | Количество нарушений в 2019 г. (по май) | Количество затронутых записей, 2019 г. (по май) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Алабама | 5 | 1,397,389 | 2 | 3,500 | 0 | 0 | 1 | 0 | 2 | 1,393,889 | 0 | 0 | 0 | 0 |
| Аляска | 6 | 2,096 | 0 | 0 | 0 | 0 | 0 | 0 | 2 | 1,521 | 4 | 575 | 0 | 0 |
| Аризона | 6 | 944,166 | 2 | 45,296 | 1 | 0 | 1 | 0 | 2 | 898,870 | 0 | 0 | 0 | 0 |
| Арканзас | 3 | 631,268 | 1 | 7,850 | 0 | 0 | 0 | 0 | 2 | 623,418 | 0 | 0 | 0 | 0 |
| Калифорния | 57 | 24,299,303 | 10 | 20,577 | 9 | 70,064 | 12 | 1,191,435 | 8 | 19,203,424 | 17 | 3,812,803 | 1 | 1,000 |
| Колорадо | 12 | 663,418 | 2 | 15,619 | 4 | 23,774 | 2 | 2,130 | 4 | 621,895 | 0 | 0 | 0 | 0 |
| Коннектикут | 2 | 27,064 | 2 | 27,064 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Делавэр | 1 | 236,134 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 236,134 | 0 | 0 | 0 | 0 |
| район Колумбии | 37 | 95,166,900 | 7 | 5,125,439 | 4 | 26,042,000 | 13 | 1,072,579 | 3 | 100,000 | 9 | 60,526,882 | 1 | 2,300,000 |
| Флорида | 22 | 318,610 | 3 | 4,831 | 6 | 213,626 | 3 | 4,876 | 3 | 20,978 | 4 | 69,752 | 3 | 4,547 |
| Грузия | 13 | 6,989,928 | 4 | 34,447 | 5 | 6,916,847 | 3 | 38,634 | 0 | 0 | 1 | 0 | 0 | 0 |
| Гавайи | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Айдахо | 5 | 962,369 | 0 | 0 | 0 | 0 | 2 | 788,064 | 1 | 170,517 | 1 | 1,728 | 1 | 2,060 |
| Иллинойс | 15 | 1,016,769 | 5 | 2,368 | 2 | 1,000 | 1 | 200,000 | 2 | 808,174 | 3 | 4,136 | 2 | 1,091 |
| Индиана | 3 | 14,003,907 | 0 | 0 | 1 | 1,262 | 0 | 0 | 0 | 0 | 2 | 14,002,645 | 0 | 0 |
| Айова | 8 | 12,789 | 2 | 2,904 | 0 | 0 | 1 | 425 | 2 | 3,789 | 3 | 5,671 | 0 | 0 |
| Канзас | 6 | 585,513 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 563,568 | 5 | 21,945 | 0 | 0 |
| Кентукки | 3 | 2,127,457 | 1 | 1,008 | 0 | 0 | 1 | 2,126,449 | 1 | 0 | 0 | 0 | 0 | 0 |
| Луизиана | 3 | 11,881 | 0 | 0 | 0 | 0 | 0 | 0 | 2 | 11,881 | 1 | 0 | 0 | 0 |
| Мэн | 4 | 285,649 | 0 | 0 | 1 | 0 | 0 | 0 | 2 | 285,549 | 1 | 100 | 0 | 0 |
| Мэриленд | 10 | 24,114 | 4 | 12,065 | 3 | 12,049 | 1 | 0 | 1 | 0 | 1 | 0 | 0 | 0 |
| Массачусетс | 7 | 44,176 | 0 | 0 | 1 | 259 | 2 | 1,614 | 2 | 2,976 | 1 | 39,000 | 1 | 327 |
| Мичиган | 6 | 4,839 | 2 | 4,295 | 1 | 0 | 0 | 0 | 1 | 0 | 1 | 544 | 1 | 0 |
| Миннесота | 7 | 161,201 | 1 | 500 | 0 | 0 | 1 | 55,813 | 0 | 0 | 3 | 93,599 | 2 | 11,289 |
| Миссисипи | 3 | 36,119 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 5,220 | 1 | 30,799 | 1 | 100 |
| Миссури | 6 | 41,928 | 1 | 19,000 | 1 | 4,000 | 0 | 0 | 1 | 5,685 | 3 | 13,243 | 0 | 0 |
| Монтана | 5 | 1,085,656 | 2 | 1,062,509 | 0 | 0 | 1 | 185 | 1 | 20,000 | 1 | 2,962 | 0 | 0 |
| Небраска | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Невада | 3 | 13,130 | 0 | 0 | 0 | 0 | 2 | 11,700 | 1 | 1,430 | 0 | 0 | 0 | 0 |
| Нью-Гемпшир | 5 | 17,702 | 1 | 2,700 | 0 | 0 | 2 | 15,000 | 1 | 0 | 0 | 0 | 1 | 2 |
| Нью-Джерси | 5 | 50,786 | 1 | 9,462 | 0 | 0 | 0 | 0 | 2 | 40,061 | 1 | 1,263 | 1 | 0 |
| Нью-Мексико | 4 | 15,718 | 1 | 2,657 | 1 | 561 | 1 | 12,500 | 0 | 0 | 1 | 0 | 0 | 0 |
| Нью-Йорк | 11 | 7,825 | 1 | 300 | 2 | 4,520 | 2 | 488 | 1 | 439 | 4 | 2,078 | 1 | 0 |
| Северная Каролина | 14 | 137,455 | 3 | 48,752 | 3 | 3,094 | 0 | 0 | 4 | 44,812 | 3 | 797 | 1 | 40,000 |
| Северная Дакота | 1 | 2,452 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 2,452 | 0 | 0 | 0 | 0 |
| Огайо | 17 | 941,474 | 3 | 15,273 | 0 | 0 | 2 | 59,000 | 5 | 4,317 | 3 | 852,891 | 4 | 9,993 |
| Оклахома | 7 | 779,543 | 1 | 0 | 0 | 0 | 0 | 0 | 3 | 480,679 | 2 | 5,372 | 1 | 293,492 |
| Орегон | 11 | 2,439,241 | 3 | 853,062 | 1 | 967 | 1 | 1,195,204 | 1 | 1,700 | 3 | 37,842 | 2 | 350,466 |
| Пенсильвания | 8 | 397,638 | 0 | 0 | 2 | 81,463 | 1 | 865 | 2 | 517 | 2 | 313,791 | 1 | 1,002 |
| Род-Айленд | 4 | 13,400 | 0 | 0 | 0 | 0 | 0 | 0 | 2 | 6,700 | 2 | 6,700 | 0 | 0 |
| Южная Каролина | 7 | 66,791 | 4 | 16,561 | 1 | 50,000 | 1 | 230 | 0 | 0 | 1 | 0 | 0 | 0 |
| южная Дакота | 2 | 2,211 | 0 | 0 | 2 | 2,211 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Теннесси | 9 | 4,615 | 5 | 2,128 | 0 | 0 | 1 | 1,800 | 1 | 687 | 1 | 0 | 1 | 0 |
| Техас | 25 | 3,423,326 | 5 | 2,005,261 | 4 | 15,620 | 4 | 2,100 | 5 | 3,345 | 7 | 1,397,000 | 0 | 0 |
| Юта | 2 | 35,000 | 0 | 0 | 1 | 14,000 | 0 | 0 | 1 | 21,000 | 0 | 0 | 0 | 0 |
| Вермонт | 11 | 183,611 | 3 | 66 | 1 | 80 | 3 | 312 | 1 | 183,153 | 0 | 0 | 3 | 0 |
| Вирджиния | 16 | 1,612,523 | 4 | 54,777 | 4 | 1,547,586 | 4 | 5,051 | 0 | 0 | 2 | 909 | 2 | 4,200 |
| Вашингтон | 15 | 7,462,510 | 2 | 6,750 | 1 | 346 | 3 | 7,435,452 | 5 | 15,105 | 2 | 1,500 | 2 | 3,357 |
| Западная Виргиния | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Висконсин | 8 | 263,099 | 1 | 843 | 1 | 637 | 0 | 0 | 2 | 0 | 3 | 258,899 | 1 | 2,720 |
| Вайоминг | 1 | 11,935 | 1 | 11,935 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| нас | 2 | 805,664 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 805,664 | 1 | 0 | 0 | 0 |
| Итоги | 443 | 168,962,628 | 90 | 9,419,799 | 63 | 35,005,966 | 72 | 14,221,906 | 84 | 26,589,549 | 100 | 81,505,426 | 34 | 3,025,646 |
Методология
Используя отчеты, подготовленные Ресурсным центром по краже личных данных, мы сопоставили все записи об утечках данных, которые произошли в правительственных / военных ведомствах. Там, где это возможно, цифры по нарушениям были присвоены государству, где были затронуты записи. Однако в некоторых случаях цифры будут относиться к штату, в котором расположена штаб-квартира вовлеченной компании. Это происходит из-за того, что часто затрагиваются несколько штатов, и данные в разбивке по штатам недоступны. Точно так же, если утечка данных произошла в масштабах США, это будет относиться к категории «США», поскольку не может быть привязано к штату.
Кроме того, могут быть некоторые случаи, когда нарушение произошло в предыдущем году, но не было доведено до сведения властей позднее. И не для каждого нарушения указывается количество затронутых сообщений (это может быть неизвестно или может быть ниже порога, установленного государством).
Вы можете найти подробный список нарушений данных правительства США, которые мы проанализировали здесь.