承包政府系統上線前未做安全測試，兩家知名企業被罰8200萬元

2024-06-19 17:40
安全內參

關注我們

帶你讀懂網絡安全

安全測試的滲透工具未能起效，新冠影響者填寫的個人信息被搜索引擎收錄，導致發生數據泄露事件；

揭發此事的前Guidehouse員工將獲得1414萬元獎勵。

前情回顧·全球網絡安全執法

內部VPN遭漏洞攻擊未向監管報告，這家金融巨頭被罰超7000萬元
泄露超6萬用戶隱私！韓國即時通訊巨頭被罰151億韓元
違反數據安全法！“內鬼”盜賣數據，浙江某大藥房被罰110萬元
上海某政務系統承包商因公民個人信息泄露遭境外兜售被處罰

安全內參6月19日消息，美國知名諮詢公司Guidehouse和Nan McKay and Associates（NMA）在新冠（COVID-19）援助部署過程中存在網絡安全缺陷，被控違規。這兩家公司已同意支付總計1130萬美元（約合人民幣8200萬元）的罰款。

具體來說，Guidehouse（前身爲普華永道美國公共部門，總部位於弗吉尼亞州麥克萊恩）支付760萬美元，NMA（總部位於加利福尼亞州埃爾卡洪）支付370萬美元。根據和解協議，揭發此事的前Guidehouse員工將獲得194.925萬美元（約合人民幣1414萬元）的獎勵。

對於去年收入高達55億美元的Guidehouse來說，這筆罰金微不足道。相比之下，NMA的年收入大約爲1.9億美元。

美國司法部上月發佈的和解協議披露了事件詳情。兩家公司被紐約州選中管理該州的緊急租賃援助計劃（ERAP）。ERAP由美國國會在2021年初建立，覆蓋美國全境，是聯邦政府新冠疫情救濟資金計劃的一部分。在疫情封鎖期間，這些安全網計劃爲低收入人羣提供財政援助，幫助他們支付租金、水電費和其他與住房相關的費用。

參與該計劃的每個州都需選擇一個機構向符合條件的租戶和房東分配聯邦資金。在紐約州，臨時和殘障援助辦公室負責該任務，並在2021年5月與Guidehouse簽訂了一份3.1億美元的合同，指定其爲主要承包商，負責向紐約居民提供ERAP技術和服務。NMA作爲Guidehouse的分包商，負責向紐約州居民提供提交租賃援助在線申請的ERAP系統。

兩家諮詢公司本應確保，該ERAP應用程序在部署前經過適當的網絡安全測試。但根據和解協議，NMA和Guidehouse在測試工具未能發揮作用的情況下，依然批准應用程序上線。

NMA的和解文件中提到：“最終，Guidehouse和NMA都未能履行完成生產前網絡安全測試的義務。”

儘管如此，紐約州的ERAP還是按計劃於2021年6月1日上線，個人敏感信息的泄露幾乎立即開始。在ERAP應用程序上線約12小時後，臨時和殘障援助辦公室通知兩家諮詢公司，申請者的某些數據已經泄露到互聯網上。

法院文件稱：“NMA與Guidehouse經過協商，聘請了第三方展開調查，確認沒有未經授權者查看或使用個人身份信息（PII）。但是，小部分羣體的個人身份信息被商業搜索引擎訪問，觸發了ERAP主合同約定的‘信息安全泄露’協議。”

作爲和解協議的一部分，Guidehouse和NMA都承認，如果進行了合同規定的安全測試，可能避免上述數據泄露。此外，Guidehouse還在和解協議中承認，從11月10日至12月14日期間，其使用了未獲得紐約州批准的某個“第三方數據雲軟件程序”存儲個人身份信息，違反了合同條款。

紐約北區檢察官Carla Freedman表示：“獲得聯邦資金的承包商必須認真履行其網絡安全義務。我們將繼續追究實體和個人在明知情況下未能實施和遵循保護敏感信息的網絡安全要求的責任。”

NMA向外媒The Register發送聲明，表示不打算進行任何改變。一位發言人告訴The Register：“NMA很高興與政府達成和解，以解決所有指控而無需承認在《虛假申報法》下的任何責任。”

“成立40多年來，NMA因行業領先的人才、流程和技術，享有全美公認的最可信的住房計劃管理公司的美名。我們在2024年5月13日與美國司法部達成的和解協議對這些沒有任何影響。”

參考資料：theregister.com

推薦閱讀

網安智庫平臺長期招聘兼職研究員
歡迎加入“安全內參熱點討論羣”

點擊下方卡片關注我們，

帶你一起讀懂網絡安全 ↓