Утечка данных Управления кадров
Утечка данных Управления кадров — это утечка данных в 2015 году, направленная против документов о допуске к секретной информации правительства США по Стандартной форме 86 (SF-86), хранящихся в Управлении управления персоналом США (OPM). Это одна из крупнейших утечек правительственных данных в истории США. Эта атака была осуществлена постоянной угрозой , базирующейся в Китае . Многие полагают, что это Департамент государственной безопасности провинции Цзянсу , дочернее предприятие Китая. правительства Министерства государственной безопасности шпионажа агентство.
В июне 2015 года OPM объявила, что стала объектом утечки данных, направленных против кадровых записей. [1] Были затронуты около 22,1 миллиона записей, включая записи, относящиеся к государственным служащим, другим людям, прошедшим проверку анкетных данных, а также их друзьям и родственникам. [2] [3] Одна из крупнейших утечек правительственных данных в истории США. [1] информация, которая была получена и украдена в результате взлома [4] включал личную информацию, такую как номера социального страхования , [5] а также имена, даты и места рождения и адреса. [6] Атаку осуществили спонсируемые государством хакеры, работающие от имени правительства Китая. [4] [7]
Утечка данных состояла из двух отдельных, но связанных атак. [8] Неясно, когда произошла первая атака, но вторая атака произошла 7 мая 2014 года, когда злоумышленники представились сотрудниками субподрядной компании KeyPoint Government Solutions. Первая атака была обнаружена 20 марта 2014 года, но вторая атака была обнаружена только 15 апреля 2015 года. [8] После этого события Кэтрин Арчулета , директор OPM, и ИТ-директор Донна Сеймур подали в отставку. [9]
Открытие [ править ]
Первое нарушение, названное Министерством внутренней безопасности (DHS) «X1», было обнаружено 20 марта 2014 года, когда третья сторона уведомила DHS об утечке данных из сети OPM. [8]
Что касается второго нарушения, получившего название «X2», газета New York Times сообщила, что проникновение было обнаружено с помощью группы готовности к компьютерным чрезвычайным ситуациям США (US-CERT). Эйнштейна . Программа обнаружения вторжений [10] Однако газеты Wall Street Journal , Wired , Ars Technica и Fortune позже сообщили, что неясно, как была обнаружена утечка. Они сообщили, что, возможно, это была демонстрация продукта CyFIR, коммерческого криминалистического продукта от охранной компании CyTech Services из Манассаса, штат Вирджиния, которая обнаружила проникновение. [11] [12] [13] [14] Эти отчеты впоследствии были обсуждены CyTech Services в пресс-релизе, выпущенном компанией 15 июня 2015 г. [15] чтобы прояснить противоречия, сделанные представителем OPM Сэмом Шумахом в более поздней редакции журнала Fortune. [11] статья. Однако не CyTech Services раскрыла проникновение; скорее, он был обнаружен персоналом OPM с помощью программного продукта поставщика Cylance. [16] [17] В конечном итоге, окончательный отчет большинства Палаты представителей о взломе OPM не обнаружил никаких доказательств того, что CyTech Services знала о причастности Cylance или заранее знала о существующем взломе на момент демонстрации своего продукта, что привело к выводу, что оба инструмента независимы друг от друга. «обнаружил» вредоносный код, работающий в сети OPM. [8]
Кража данных [ править ]
Кража информации о допуске к секретной информации [ править ]
Утечка данных скомпрометировала весьма конфиденциальную 127-страничную стандартную форму 86 (SF 86) (Анкета для должностей в области национальной безопасности). [7] [18] Формы SF-86 содержат информацию о членах семьи, соседях по комнате в колледже, иностранных контактах и психологическую информацию. Первоначально ОПМ заявило, что имена членов семьи не были скомпрометированы. [18] но впоследствии OPM подтвердило, что следователи имели «высокую степень уверенности в том, что системы OPM содержат информацию, связанную с расследованиями биографических данных нынешних, бывших и потенциальных служащих федерального правительства, включая военнослужащих США, а также тех, в отношении кого было проведено федеральное расследование». проведены, возможно, были вывезены». [19] Однако Центральное разведывательное управление не использует систему OPM; следовательно, возможно, на него не повлияло. [20]
Кража личных данных [ править ]
Дж. Дэвид Кокс, президент Американской федерации государственных служащих , написал в письме директору OPM Кэтрин Арчулета, что, основываясь на неполной информации, которую AFGE получила от OPM, «мы считаем, что Центральный файл данных персонала был целью База данных, и что хакеры теперь владеют всеми личными данными каждого федерального служащего, каждого федерального пенсионера и до миллиона бывших федеральных служащих». [21] Кокс заявил, что AFGE считает, что в результате взлома были нарушены военные записи, информация о статусе ветеранов, адреса, даты рождения, история работы и заработной платы, информация о медицинском страховании и страховании жизни, пенсионная информация, а также данные о возрасте, поле и расе. [21]
Кража отпечатков пальцев [ править ]
Украденные данные включали 5,6 миллиона наборов отпечатков пальцев. [22] Эксперт по биометрии Рамеш Кесанупалли заявил, что из-за этого секретные агенты больше не находятся в безопасности, поскольку их можно было идентифицировать по отпечаткам пальцев, даже если их имена были изменены. [23]
Преступники [ править ]
Подавляющее большинство сходится во мнении, что кибератака была осуществлена спонсируемыми государством злоумышленниками в интересах правительства Китая , в частности Департамента государственной безопасности провинции Цзянсу . [4] Атака началась в Китае. [6] а бэкдор -инструмент PlugX, использованный для взлома, ранее использовался китайскоязычными хакерскими группами, нацеленными на политических активистов Тибета и Гонконга. [4] Использование имен супергероев также является отличительной чертой хакерских групп, связанных с Китаем. [4]
Отчет Комитета Палаты представителей по надзору и правительственной реформе о взломе убедительно свидетельствует о том, что злоумышленники были государственными субъектами из-за использования очень специфического и высокоразвитого вредоносного ПО . [8] Представитель Министерства внутренней безопасности США Энди Озмент показал, что злоумышленники получили действительные учетные данные пользователя для систем, которые они атаковали, вероятно, с помощью социальной инженерии . Нарушение также заключалось в пакете вредоносного ПО, который установился в сети OPM и установил бэкдор. После этого злоумышленники повысили свои привилегии, чтобы получить доступ к широкому спектру систем OPM. В статье, опубликованной перед отчетом Палаты представителей по надзору, Ars Technica сообщила о плохой практике безопасности у подрядчиков OPM: по крайней мере один работник с корневым доступом к каждой строке в каждой базе данных физически находился в Китае, а у другого подрядчика было два сотрудника с китайскими паспортами. . [24] Однако это обсуждалось как плохая практика безопасности, а не как настоящий источник утечки.
Китай отрицает ответственность за нападение. [25]
В 2017 году гражданин Китая Ю Пингань был арестован по обвинению в предоставлении вредоносного ПО «Sakula», которое использовалось для взлома данных OPM и других кибервторжений. [26] [27] ФБР арестовало Ю в международном аэропорту Лос-Анджелеса после того, как он прилетел в США на конференцию. [26] [27] Юй провел 18 месяцев в федеральном центре заключения Сан-Диего и признал себя виновным в сговоре с целью взлома компьютера, после чего был депортирован в Китай. [27] В феврале 2019 года его приговорили к отбыванию срока и разрешили вернуться в Китай; к концу того же года Юй работал учителем в государственной Шанхайской коммерческой школе в центре Шанхая . [27] Ю был приговорен к выплате 1,1 миллиона долларов в качестве компенсации компаниям, подвергшимся воздействию вредоносного ПО, хотя вероятность фактического погашения этой суммы невелика. [27] Ю был одним из очень небольшого числа китайских хакеров, арестованных и осужденных в США; большинство хакеров никогда не задерживаются. [27]
Мотив [ править ]
Было ли нападение мотивировано коммерческой выгодой, остается неясным. [10] Было высказано предположение, что хакеры, работающие на китайские военные, намерены составить базу данных американцев, используя данные, полученные в результате взлома. [25]
Предупреждения [ править ]
OPM неоднократно предупреждалось об уязвимостях и сбоях в системе безопасности. OPM Конгрессу за март 2015 года Управления генерального инспектора В полугодовом отчете содержится предупреждение о «постоянных недостатках в программе безопасности информационных систем OPM», включая «неполные пакеты авторизации безопасности, недостатки в тестировании средств контроля информационной безопасности, а также неточные планы действий и основные этапы». ." [28] [29]
В статье, опубликованной в июле 2014 года в The New York Times, цитировались неназванные высокопоставленные американские чиновники, заявившие, что китайские хакеры взломали OPM. Чиновники заявили, что хакеры, судя по всему, нацелены на файлы работников, которые подали заявку на получение допуска и получили доступ к нескольким базам данных, но были остановлены до того, как получили информацию о допуске к секретной информации. В интервью позже в том же месяце Кэтрин Арчулета , директор OPM, сказала, что самым важным было то, что никакая личная информация не была скомпрометирована. [20] [30] [31]
Ответственность [ править ]
Некоторые законодатели призвали Арчулету уйти в отставку, ссылаясь на бесхозяйственность и на то, что она была политическим назначенцем и бывшим должностным лицом предвыборного штаба Обамы, не имея ни ученой степени, ни опыта работы в сфере человеческих ресурсов . Она ответила, что ни она, ни директор по информационным технологиям OPM Донна Сеймур не сделают этого. «Я предан работе, которую выполняю в OPM», — заявил Арчулета репортерам. «Я доверяю персоналу, который там работает». [2] 10 июля 2015 года Арчулета подал в отставку с поста директора ОПМ. [32]
Дэниел Хеннингер , заместитель директора редакционной страницы Wall Street Journal , выступая в Fox News , редакционном отчете журнала раскритиковал назначение Арчулеты «руководителем одного из самых секретных агентств» в правительстве США, сказав: «Что такое у нее есть опыт проведения чего-то подобного? Она была национальным политическим директором кампании по переизбранию Барака Обамы в 2012 году. Она также является главой так называемой «Латинской инициативы». Она политик, верно... Вот какой они человек. вложили». [33]
Эксперты по безопасности заявили, что самой большой проблемой взлома была не неспособность предотвратить удаленные взломы, а отсутствие механизмов обнаружения внешнего вторжения и отсутствие надлежащего шифрования конфиденциальных данных. Директор по информационным технологиям OPM Донна Сеймур ответила на эту критику, указав на устаревшие системы агентства как на основное препятствие на пути внедрения такой защиты, несмотря на наличие доступных инструментов шифрования. Помощник министра внутренней безопасности США по кибербезопасности и коммуникациям Энди Озмент далее пояснил, что: «Если у злоумышленника есть учетные данные пользователя в сети, он может получить доступ к данным, даже если они зашифрованы, точно так же, как пользователи в сети должны получить доступ к данным, и в данном случае это действительно произошло. Таким образом, шифрование в этом случае не защитило бы эти данные». [34]
Расследование [ править ]
В записке генерального инспектора Патрика Макфарланда от 22 июля 2015 года говорилось, что директор по информационным технологиям OPM Донна Сеймур замедляла расследование взлома, что заставило его задаться вопросом, действовала ли она добросовестно. Он не выдвигал никаких конкретных обвинений в неправомерном поведении, но сказал, что ее офис создавал «атмосферу недоверия», предоставляя ему «неверную или вводящую в заблуждение» информацию. [35] В понедельник, 22 февраля 2016 года, ИТ-директор Донна Сеймур подала в отставку, всего за два дня до того, как она должна была дать показания перед комиссией Палаты представителей, которая продолжает расследование утечки данных. [36]
Сообщается, что в 2018 году OPM по-прежнему был уязвим для кражи данных: 29 из 80 рекомендаций Счетной палаты правительства остались невыполненными. [37] В частности, как сообщается, OPM все еще использовал пароли, украденные в результате взлома. [37] Он также не отказался от практики совместного использования административных учетных записей между пользователями, несмотря на то, что против этой практики было рекомендовано еще в 2003 году. [37]
Реакция [ править ]
Директор ФБР Джеймс Коми заявил: «Это очень большое дело с точки зрения национальной безопасности и контрразведки. Это сокровищница информации обо всех, кто работал, пытался работать или работает на правительство Соединенных Штатов». " [38]
Выступая на форуме в Вашингтоне, округ Колумбия, директор Национальной разведки Джеймс Р. Клэппер сказал: «Вы должны отдать должное китайцам за то, что они сделали. Если бы у нас была возможность сделать это, я не думаю, что мы бы это сделали». задумайтесь на минуту». [39]
См. также [ править ]
- Утечка данных Министерства финансов США и Министерства торговли в 2020 г.
- Кибервойна со стороны Китая
- Операция Аврора
- Yahoo! утечка данных
Ссылки [ править ]
- ^ Jump up to: Перейти обратно: а б Барретт, Девлин (5 июня 2015 г.). «США подозревают, что хакеры в Китае взломали записи около четырех (4) миллионов человек, заявляют официальные лица» . Уолл Стрит Джорнал . Проверено 5 июня 2015 г.
- ^ Jump up to: Перейти обратно: а б Зенгерле, Патрисия; Касселла, Меган (9 июля 2015 г.). «Оценка числа американцев, пострадавших от взлома данных правительственных служащих, стремительно растет» . Рейтер . Проверено 9 июля 2015 г.
- ^ Накашима, Эллен (9 июля 2015 г.). «По данным федеральных властей, в результате взлома баз данных OPM пострадали 22,1 миллиона человек» . Вашингтон Пост . Проверено 19 июля 2020 г.
- ^ Jump up to: Перейти обратно: а б с д и Фрулингер, Джош (12 февраля 2020 г.). «Взлом OPM объяснил: плохие методы обеспечения безопасности встретились с китайским Капитаном Америкой» . ЦСО онлайн . Проверено 29 мая 2023 г.
- ^ Ризен, Том (5 июня 2015 г.). «Китай подозревается в краже документации федеральных служащих» . Новости США и мировой отчет . Проверено 5 июня 2015 г.
- ^ Jump up to: Перейти обратно: а б Сандерс, Сэм (4 июня 2015 г.). «Массовая утечка данных ставит под угрозу записи 4 миллионов федеральных служащих» . ЭНЕРГЕТИЧЕСКИЙ ЯДЕРНЫЙ РЕАКТОР . Проверено 5 июня 2015 г.
- ^ Jump up to: Перейти обратно: а б Гаррет М. Графф, Хакерская волна в Китае будет иметь последствия на десятилетия , Wired (11 февраля 2020 г.).
- ^ Jump up to: Перейти обратно: а б с д и Чаффец, Джейсон (7 сентября 2016 г.). «Утечка данных OPM: как правительство поставило под угрозу нашу национальную безопасность на протяжении более чем поколения» (PDF) . Комитет Палаты представителей по надзору и правительственной реформе . Архивировано из оригинала (PDF) 21 сентября 2018 года . Проверено 4 октября 2019 г.
- ^ Бойд, Аарон (8 августа 2017 г.). «ИТ-директор OPM Сеймур уходит в отставку за несколько дней до слушания по надзору» . Федерал Таймс . Проверено 4 декабря 2017 г.
- ^ Jump up to: Перейти обратно: а б Сэнгер, Дэвид Э. (5 июня 2015 г.). «Взлом, связанный с Китаем, раскрывает миллионы американских рабочих» . Нью-Йорк Таймс . Проверено 5 июня 2015 г.
- ^ Jump up to: Перейти обратно: а б «Демонстрация продукта выявила «крупнейшую за всю историю» утечку правительственных данных — Fortune» . Удача . Проверено 10 июля 2015 г.
- ^ Ким Зеттер и Энди Гринберг (11 июня 2015 г.). «Почему взлом OPM является таким провалом в области безопасности и конфиденциальности» . Проводной . Проверено 10 июля 2015 г.
- ^ «Отчет: Взлом записей государственных служащих, обнаруженный в ходе демонстрации продукта» . Арс Техника . 11 июня 2015 года . Проверено 10 июля 2015 г.
- ^ Дамиан Палетта и Шивон Хьюз (10 июня 2015 г.). «Шпионские агентства США присоединяются к расследованию кражи личных данных» . ВСЖ . Проверено 10 июля 2015 г.
- ^ «CyTech Services подтверждает помощь в реагировании на нарушения OPM» . ПРВеб . 15 июня 2015 года . Проверено 10 июля 2015 г.
- ^ «Благодарность за обнаружение нарушения OPM» . ПОЛИТИКА . 27 мая 2016 года . Проверено 17 сентября 2016 г.
- ^ «Сюрприз! В отчете Палаты представителей руководство OPM обвиняется в нарушении документации» . 7 сентября 2016 г. Проверено 17 сентября 2016 г.
- ^ Jump up to: Перейти обратно: а б Майк Левин. «Взлом OPM гораздо глубже, чем публично признавалось, и оставался незамеченным более года, как сообщают источники» .
- ^ «Утечка данных о сотрудниках шире, чем в первоначальном отчете, заявляют в США» . Bloomberg.com . 12 июня 2015 г. – через www.bloomberg.com.
- ^ Jump up to: Перейти обратно: а б Ауэрбах, Дэвид. «Нарушение OPM — это катастрофа» .
- ^ Jump up to: Перейти обратно: а б Кен Диланиан, Профсоюз: Хакеры располагают личными данными каждого федерального служащего , Associated Press (11 июня 2015 г.).
- ^ Сэнгер, Дэвид Э. (23 сентября 2015 г.). «Хакеры взяли отпечатки пальцев у 5,6 миллионов американских рабочих, заявляет правительство» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 23 сентября 2015 г.
- ^ Пальери, Хосе (10 июля 2015 г.). «Беспрецедентный результат взлома OPM: 1,1 миллиона отпечатков пальцев» . Проверено 11 июля 2015 г.
- ^ Галлахер, Шон. «Шифрование «не помогло бы» в OPM, говорит представитель DHS» .
- ^ Jump up to: Перейти обратно: а б Липтак, Кевин (4 июня 2015 г.). «Правительство США взломано; федералы считают, что виновником является Китай» . CNN . Проверено 5 июня 2015 г.
- ^ Jump up to: Перейти обратно: а б Девлин Барретт (24 августа 2017 г.). «Гражданин Китая арестован по подозрению в использовании вредоносного ПО, связанного со взломом OPM» . Вашингтон Пост .
- ^ Jump up to: Перейти обратно: а б с д и ж Стив Стеклоу и Александра Харни, Эксклюзив: Брокер вредоносного ПО, стоящий за хакерами в США, теперь обучает компьютерным навыкам в Китае , Reuters (24 декабря 2019 г.).
- ^ Дэвид Ауэрбах , Нарушение OPM — это катастрофа: сначала правительство должно признать свою неудачу. Тогда федералам следует следовать этому плану, чтобы исправить ситуацию , Slate (16 июня 2015 г.).
- ↑ Управление кадрового управления Управления генерального инспектора, полугодовой отчет Конгрессу: 1 октября 2014 г. – 31 марта 2015 г. .
- ^ Шмидт, Майкл С.; Сэнгер, Дэвид Э.; Перлрот, Николь (10 июля 2014 г.). «Китайские хакеры собирают ключевые данные о американских рабочих» . Нью-Йорк Таймс . Проверено 29 июня 2015 г.
- ^ Джексон, Джордж. «Арчулета о попытке взлома и USIS» . Проверено 29 июня 2015 г.
- ^ Дэвис, Джули Х. (10 июля 2015 г.). «Кэтрин Арчулета, директор Управления кадров, уходит в отставку» . Нью-Йорк Таймс . Проверено 10 июля 2015 г.
- ^ Слишком много информации: стенограмма программы выходных на канале FOX News (12 июля 2015 г.).
- ^ Аарон Бойд (22 июня 2015 г.). «Нарушение OPM, сбой при шифровании, обнаружении» . Федерал Таймс . Проверено 17 ноября 2015 г.
- ^ «Watchdog обвиняет OPM в препятствовании расследованию хакерских атак» . Фокс Ньюс . Проверено 8 августа 2015 г.
- ^ «Руководитель отдела кибербезопасности OPM подал в отставку из-за массовой утечки данных» . США сегодня . Проверено 23 февраля 2016 г.
- ^ Jump up to: Перейти обратно: а б с Мэтьюз, Ли. «Управление персоналом все еще уязвимо спустя 3 года после масштабного взлома» . Форбс .
- ^ « В результате взлома баз данных OPM пострадали 22,1 миллиона человек, заявляют федеральные власти ». Вашингтон Пост. 9 июля 2015 г.
- ↑ Джулианна Пепитон, Китай — «главный подозреваемый» во взломах OPM, говорит руководитель разведки Джеймс Клэппер , NBC News (25 июня 2015 г.).