Egy hónapja, az új számítógépes biztonsági rendszer tesztelésekor derült ki, hogy jelentős mennyiségű adatot loptak el az amerikai kormányzat Office of Personal Management (OPM) nevű hivatalától. Tavaly december óta több mint 4 millió szövetségi munkavállaló adatait sikerült megszerezniük feltehetően kínai hackereknek – gondolták akkor.

Nagyságrendet tévedtek

Most azonban kiderült: igencsak alábecsülték az adatlopás mértékét. A jelenlegi információk szerint ugyanis katasztrofális mértékben sérültek személyes információk. Washingtonban illetékesek tegnap ugyanis azt közölték, hogy eleven két támadás történt, egyik esetben valóban 4,2 millió szövetségi alkalmazott adatait lopták el, a másik során azonban további 21,5 millióé is kiszivárgott. Mivel a két támadás során kompromittált adatok között van átfedés, a végeredmény 22,1 millió alkalmazott adata. Ez azt jelenti, hogy minden 100 amerikai állampolgár közül hétnek a személyes adatai – bankszámlaszámok, társadalombiztosítási azonosítók stb. – kerültek illetéktelen kezekbe.

A támadás gyakorlatilag minden állami szerv alkalmazottait érint. De hogy a dolog még húzósabb legyen, mára az is egyre valószínűbb, hogy olyan alkalmazottak adatait is sikerült megszerezniük a hackereknek, akik súlyos állami titkok tudói. Ugyanis olyan személyes adatok is sérültek, melyeket a hivatal a biztonsági átvilágítások során gyűjtött be. Ilyen átvilágításokat pedig akkor végez az OPM, ha egy alkalmazottnak titkosított adatokhoz kell hozzáférést biztosítani.

Az már csak hab a tortán, hogy 1,8 millió olyan személy is benne van a 22 millióban, akinek közvetlenül semmi köze a szövetségi hivatalokhoz, de hozzátartozója személyes adatokat szolgáltatott róla az OPM-nek az átvilágítás során.

Ki a felelős?

A felelősök keresése egyelőre kimerül az egymásra mutogatásban. A szenátus vizsgálóbizottsága meghallgatta a hivatal vezetőjét. Ott Katherine Archuleta igazgató elhárított minden személyes felelősséget. Szerinte ugyanis személyében senki sem felelős az incidensért, és egyedül a hackereket terheli a felelősség. Az igazgatónő, akit egyébként az amerikai törvényhozás több képviselője is lemondásra szólított fel, elsősorban arra hívta fel a figyelmet, hogy komoly elmaradások vannak az OPM informatikai rendszerének a korszerűsítésében.

Különösen vicces Archuleta érvelése az amerikai NMHH, azaz a U.S. Federal Communications Commission (FCC) egy tegnapi döntése fényében. Miközben az igazgatónő a hackerekre tolt minden felelősséget, az FCC 3,5 millió dollárra büntetett két kisebb távközlési szolgáltatót, mert megítélésük szerint kezelték megfelelően ügyfeleik adatait.

Az ügy nem is lenne érdekes, ha a büntetés kiszabása nem esett volna egybe azzal a washingtoni bejelentéssel, hogy nem 4,2 alkalmazott, hanem összesen 22,1 amerikai állampolgár adatai kerülte ki az OPM-től a hiányos adatvédelem miatt. A két testvércégnek, a TerraCom Wirelessnek és a YourTel Wirelessnek egyébként azért kell fizetnie, mert nem megfelelően védett szervereken tárolták az ügyfeleikre vonatkozó információkat, melyekhez így az internetről is hozzá lehetett férni. Az FCC vezetőjének indoklása szerint a fogyasztók joggal várják el, hogy a vállalatok minden ésszerű óvintézkedést megtesznek annak érdekében, hogy megvédjék a ügyfeleik személyes adatait. Ha egy cég nem törekszik erre, azzal sérül fogyasztói bizalom.

Vajon a OPM-nél történt incidenssel mi sérült?