Через зламану систему транспортного департаменту Техасу викрадено дані про майже 300 тисяч ДТП

Хакери зламали обліковий запис співробітника транспортного департаменту Техасу (TxDOT) та вивантажили майже 300 000 конфіденційних звітів про ДТП, що містять імена, адреси, номери водійських прав, поліси страхування та деталі травм.

• 12 травня в системі CRIS (Crash Records Information System) помітили нетипову активність. Як встановило розслідування, через скомпрометований акаунт зловмисники отримали доступ до докладних звітів про аварії, включно з особистими даними водіїв, свідків, інформацією про отримані травми та описом інцидентів. Незважаючи на те, що закон не зобов’язує штат публічно повідомляти про інцидент, TxDOT вирішив розіслати листи постраждалим, попередивши про потенційні шахрайські дії, пов’язані з аваріями. Водночас відкрито гарячу лінію для звернень громадян.

Інцидент у Техасі стався на тлі схожої ситуації в Іллінойсі. Там 933 особи постраждали від фішингової атаки на працівника Департаменту охорони здоров’я, яка призвела до витоку номерів соціального страхування, даних Medicaid та державних ID.

CRIS — офіційна база звітів про дорожньо-транспортні пригоди у штаті Техас, що містить чутливу інформацію про всіх учасників інцидентів. Подібні бази становлять високий ризик у разі компрометації, адже використовуються страховими, судовими та правоохоронними органами.

Фішингова атака в Іллінойсі ще раз демонструє, наскільки ефективними залишаються класичні методи соціальної інженерії — навіть серед держслужбовців.

Ці два інциденти демонструють вразливість критичних баз даних у державному секторі США. І Техас, і Іллінойс реагували із затримкою, а у випадку TxDOT — взагалі не мали юридичного обов’язку інформувати суспільство. Це ставить питання про стандарти прозорості, відповідальності та потребу в єдиній національній політиці сповіщення про витоки.