4 agences américaines examinent leurs données après la violation par Equifax après les conclusions du GAO – CNET à tort

0 80

L'atteinte à la vie privée d'Equifax répond aux questions de sécurité fournies par des autorités telles qu'Anciens Combattants Canada et la Social Security Administration à des fins d'examen.

Igor Golovniov / Images SOPA / LightRocket sur Getty Images

Plusieurs agences gouvernementales s'appuient sur une mesure de sécurité qui peut facilement être contournée par des violations massives telles que le piratage d'Equifax identifié par le US Government Accountability Office. Dans un rapport publié vendredi, le groupe de surveillance du gouvernement a indiqué que le service postal américain, le ministère des Anciens Combattants, la Social Security Administration et les centres pour Medicare et les services Medicaid utilisent encore la "vérification basée sur les connaissances". Assurez-vous que les personnes qui postulent en ligne pour des avantages sont contraignantes.

Dans cette méthode de vérification, des questions telles que la date de naissance, les numéros de sécurité sociale et les adresses étaient posées au demandeur, à condition que seul le demandeur dispose de ces informations. Quand Equifax a été violée en 2017, cette information avait été volée à 145,5 millions d'Américains, bénéficiant à plus de la moitié de la population américaine.

De nombreuses agences fédérales qui recourent à l'examen fondé sur les connaissances sont confrontées à une fraude généralisée, les attaquants potentiels pouvant utiliser les informations volées pour obtenir des prestations et obtenir des cartes de sécurité sociale, a déclaré le GAO.

En 2017, l'Institut national des normes et de la technologie a commencé à décourager cette méthode de vérification.

Les législateurs ont demandé au tuteur du gouvernement de vérifier combien d'agences fédérales utilisent encore la méthode de vérification obsolète après la violation d'Equifax. Alors que l'IRS et la General Services Administration ont mis fin à l'examen fondé sur les connaissances pour des raisons de sécurité, le GAO a constaté que quatre agences fédérales continuent de s'en prévaloir.

Dans les lettres aux quatre autorités, les sénatrices Elizabeth Warren (D-Mass.), Ron Wyden (D-Ore.) Et Elijah Cummings (D-Md.) Ont demandé quelles mesures elles avaient prises pour protéger la vie privée des Protéger les consommateurs par la suite L'infraction d'Equifax et la raison pour laquelle ils utilisaient encore un système de vérification obsolète.

"Il est inquiétant de constater que près de deux ans après la violation massive des données par Equifax en 2017, les agences fédérales continuent à utiliser des méthodes de vérification d'identité obsolètes qui augmentent le risque d'usurpation d'identité pour les citoyens", a déclaré un communiqué de l'Assemblée législative. "Nous devons faire plus pour prévenir ce type de violation et le gouvernement doit améliorer la protection des citoyens et en améliorer la protection."

Les quatre agences mentionnées dans le rapport n'ont pas répondu aux demandes de commentaires.

Le rapport du GAO a révélé qu'il existe plusieurs alternatives à la validation basée sur les connaissances, telles que l'authentification personnelle ou l'utilisation de périphériques mobiles pour l'enregistrement. L'USPS et l'ASS ont indiqué au GAO qu'ils envisageraient des solutions de remplacement, mais ne s'attendaient pas à les appliquer d'ici la fin de l'année. La SSA vise à introduire une méthode plus sûre d’ici 2020.

CMS a déclaré ne pas avoir l'intention de supprimer la méthode de vérification et a indiqué à GAO que ses utilisateurs préféraient la mesure non sécuritaire en dépit de la fraude possible, selon le rapport.

VA a mis en œuvre des alternatives, mais uniquement en complément de mesures de sécurité obsolètes, indique le rapport.

Les agents de ces trois organisations ont indiqué que, bien que le NIST ne recommande pas les examens fondés sur les connaissances, il ne propose pas d'alternatives viables. Le GAO a recommandé que le NIST améliore ses recommandations aux agences fédérales, aux organisations gouvernementales pour améliorer leurs méthodes de filtrage et au Bureau de l'administration et du budget, et oblige les agences à rendre compte de leurs progrès.

"Tant que ces agences ne procèdent pas à des examens fondés sur les connaissances, les personnes dont ils s'occupent continuent de courir un risque accru de fraude d'identité", indique le rapport du GAO.

Partagez votre voix

mots-clés

politique
sécurité

Equifax

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More