Hackern geklaut 70.000 Datensätze von Healthcare.gov in vier Minuten (aktualisiert)
Nachdem die Schar der Probleme Healthcare.gov in den ersten Lebensmonaten, dumping eine mehr auf den Stapel Sie nicht allzu viel Phase sollte, nicht wahr? Na ja, nicht, wenn dieser Schluckauf eigentlich eine klaffende Sicherheitslücke ist – und das kann Hacker Zugriff auf mehr als 70,0000 private Einträge in nur vier Minuten, damals gewähren.
David Kennedy, einen weißen Hut Hacker und CEO von TrustedSec hat jemand gewarnt, die seit November hören würde, die Website der fehlerhaften Regierung sehr unsicher war. Jetzt, nach der Verwendung von passiven Aufklärung, "was [ihm erlaubt Abfragen und schauen, wie die Website betreibt und führt," Kennedy ergab, dass er auf 70.000 Datensätze in weniger als vier Minuten, gewährte ihm Zugang zu Informationen wie Namen, Sozialversicherungsnummern, e-Mail-Adressen zugreifen und Privatadressen, nur um einige zu nennen. Darüber hinaus habe er auch technisch überhaupt in die Website zu hacken.
Im Gespräch mit Fox News Sunday, erklärte Kennedy, was er glaubte, die Ursache des Problems sein:
Das Problem ist, schaut man sich die Integration zwischen der IRS, DHS, Dritter Kreditprozesse Überprüfung, Sie haben alle diese verschiedenen Organisationen, die fließen in diese Datendrehscheibe für die healthcare.gov Infrastruktur, geben Sie diese Informationen und alles zu validieren. Und so erhält ein Angreifer Zugriff auf, dass sie im Grunde verfügen über Vollzugriff in Ihrer gesamten Online-Identität, alles, was Sie von Steuern an, Sie wissen, was Sie bezahlen, was Sie machen, was hat DHS auf Sie aus Sicht sowie der Verfolgung so offensichtlich wissen Sie, was nennen wir personenbezogene Daten, die ist, was ein Angreifer verwenden würde, um eine Kreditlinie von Ihrem Konto aus. Es ist wirklich schädlich.
Doch Teresa Fryer, der chief Information Security Officer für die Zentren von Medicaid und Medicare-Leistungen, bezeugte vor dem House Oversight Committee behauptet, dass Cyber-Sicherheit testen hatte erfolgreich abgeschlossen und "gab es keine erfolgreiche Angriffe auf der Website."
Natürlich erweckend behauptet, dass keine Angriffe auf dem Gelände stattgefunden hat nicht viel Vertrauen, wenn die Informationen zugänglich sind, ohne jemals in die Website an erster Stelle.
[ComputerWorld]
5:00 PM EST zu aktualisieren:
David Kennedy getroffen, um die TrustedSec-Website, um klarzustellen, dass es in der Tat nicht, war 70.000 Datensätze, die durch das Lesegerät gezogen wurden. Vielmehr sei Nummer einfach "getestet für beispielhaft durch Verwendung von Googles erweiterte Suche." Kennedys full-Update folgt:
Thier schon ein paar Geschichten in den Medien rund um den Zugriff auf 70.000 Aufzeichnungen auf der healthcare.gov Website herumlaufen. Hierzu nur anstreicht, wir nie 70.000 Datensätze abgerufen, es ist auch nicht direkt auf der healthcare.gov Webseite (eine Unterwebsite für die Infrastruktur). Die Zahl 70.000 war eine Zahl, die als Beispiel durch Verwendung von Googles erweiterte Suchfunktionen sowie normalerweise navigieren auf der Webseite getestet wurde. Kein dumping, Vorsatz, hacken, oder sogar Anzeige der Informationen erfolgte. Wir unterstützen nicht die Aussagen von den Nachrichtenagenturen. Aus einem früheren Blog-Post wurde die angezeigten Informationen in das Python-Skript desinfiziert und nicht durch Google Schaben (urllib2 Python-Modul) verwendet. Wir haben erreicht an die Nachrichtenagenturen, da diese nicht unsere Worte zu klären.