Il 2017 Equifax violazione della sicurezza è gettare una chiave nel processo utilizzato da agenzie governative degli stati UNITI per verificare l’identità di NOI cittadini applicazione per vari vantaggi tramite i suoi portali online.
Questo processo, chiamato online verifica dell’identità o remoto identità di correzione, invocata dati forniti da agenzie di credito di segnalazione (Cra), come Equifax, come prova dell’identità del richiedente.
I sistemi di governo o lavoratori di verificare i dati forniti da un cittadino degli stati UNITI contro un privato CRA database, come quello mantenuto da Equifax, o hanno chiesto i cittadini a domande sui dati che era presente nel loro rapporto di credito Equifax.
Ma il 2017 Equifax hack, durante il quale gli hacker hanno rubato i dettagli sull’identità di 145,5 milioni di NOI cittadini, ha fatto di questo processo impreciso e inaffidabile, hacker e altri gruppi online potrebbe anche essere in possesso dei dati stessi, e non solo del cittadino.
Nel 2017, il National Institute of Standards and Technology (NIST) ha reagito a questo hack, l’emissione di una guida per le agenzie governative, con consigli sulla sostituzione del CRA-based identità online di correzione con altre soluzioni, come l’invio di un SMS a un telefono di un utente, o con l’utente di inviare/caricare una scansione di un fisico ID agenzia del governo, come prova di identità.
Quattro dei sei le agenzie del governo USA ancora fare affidamento sulle Agenzie di rating del credito
Ma un rapporto della US Government Accountability Office (GAO), un bi-partisan agenzia governativa che fornisce il controllo, di valutazione e di servizi investigativi per il Congresso, ha scoperto che solo due delle sei agenzie governative hanno testato aveva seguito il NIST guida.
GAO ha trovato che i Centri per assistenza sanitaria statale e Servizi di Medicaid (CMS), la Social Security Administration (SSA), la US Postal Service (USPS), e il Dipartimento degli Affari di Veterani (VA) erano ancora affidamento sul vecchio CRA database online per la verifica dell’identità.
Questo significa che qualsiasi hacker di chiamata o di deposito benefici con tali agenzie-e in possesso di dati da Equifax violazione-è in grado di verificare personalmente come cittadino degli stati UNITI stavano cercando di posa.
Le agenzie che fanno parte del GAO inchiesta, ha detto che uno dei motivi per cui non ho la migrazione a un nuovo sistema di sicurezza, secondo il NIST guida, è a causa dei “costi elevati e problemi di implementazione per alcuni segmenti di pubblico”, che le agenzie di paura potrebbe prevenire alcuni di NOI cittadini non siano in grado di utilizzare i loro portali online.
Ora, GAO non è colpa di questi enti e, inoltre, non vedere una via d’uscita da questa situazione di stallo, oltre NIST emissione di nuove linee guida con la migliore consulenza.
“Fino a che il NIST non fornisce ulteriori indicazioni per aiutare le agenzie di allontanarsi dalla conoscenza dei metodi di verifica e OMB [Office of Management and Budget] richiede alle agenzie di segnalare i loro progressi, le agenzie federali probabilmente continuerà a lottare per rafforzare la sua identità di correzione processi,” GAO hanno detto i funzionari.
Per ora, non ci sono stati casi di frode che è stato legato al Equifax hack, e non sia ancora chiaro chi ha rubato la Equifax dati, e che i dati anche.
I risultati del rapporto del GAO:
– La General Services Administration (GSA) e l’Internal Revenue Service (IRS) ha recentemente sviluppato e ha iniziato a utilizzare metodi alternativi per remote identità di correzione per la loro Login.gov e Ottenere la Trascrizione di servizi che non si basano sulla conoscenza di verifica.
– Il Dipartimento degli Affari di Veterani (VA) ha implementato metodi alternativi per una parte della sua identità, del processo di revisione, ma si affida ancora a conoscenza di verifica per alcuni individui.
– La Social Security Administration (SSA) e la United States Postal Service (USPS), intendono ridurre o eliminare il loro uso di conoscenze di verifica basati su un certo momento nel futuro, ma non hanno ancora piani specifici per farlo.
Il Centers for Medicare e Medicaid Services (CMS) ha nessuna intenzione di ridurre o eliminare conoscenza di verifica remoto identità di correzione.
Relative governo di copertura:
Militari cinesi per sostituire il sistema operativo Windows e dei timori di NOI hackingCBP dice che gli hacker hanno rubato la targa e viaggiatori’ photosRussian militare si avvicina per la sostituzione delle Finestre con Astra LinuxSEC avviso di sicurezza avverte di non configurato correttamente NAS, DBs e cloud server
L’Olanda è il primo paese a mostrare Amber alert su ATMsEven la NSA sta chiedendo agli utenti di Windows di patch BlueKeep
Come l’Estonia divenne una e-governo centrale TechRepublicSri Lanka blocchi di social media dopo mortali Pasqua esplosioni CNET
Argomenti Correlati:
Governo
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati