Den AMERIKANSKE avdelinger
Justis-og
Homeland Security på mandag annonserte at de undersøker rapporter om at en hacker brøt seg inn i offentlige datasystemer og stjal sensitive opplysninger om ansatte ved kontorene.
Hacker postet stjålet informasjon for ca 9.000 DHS nett søndag og gjorde offentlige data på 20.000 FBI-ansatte mandag.
“Vi ser i rapporter om påståtte offentliggjøring av DHS ansattes kontaktinformasjon,” DHS sa i en uttalelse gitt til TechNewsWorld av talsperson S. Y. Lee.
“Vi tar disse rapportene svært alvorlig, men det er ingen indikasjon på at det er brudd av sensitiv eller personlig identifiserbar informasjon,” department lagt til.
En DOJ talsperson var ikke umiddelbart tilgjengelig for kommentar til denne historien.
Avdelingen var å undersøke “uautorisert tilgang til systemet drives av en av komponentene inneholder ansattes kontaktinformasjon,” DOJ talsmann Peter Carr fortalte The Guardian, og legger til at ingen sensitiv personlig identifiserbar informasjon som syntes å ha blitt kompromittert
Spindelvev Data
DHS data legges ut på Web finnes telefonnumre og e-postadresser til personer som ikke hadde jobbet for byrået i år, ifølge en undersøkelse av informasjon av The Guardian. Dataene også inkludert utdatert titler.
Hovedkort rapporterte data tyveri søndag, sier en hacker hadde slått den stjålne informasjonen over til det og annonserte sin intensjon om å gå ut offentlig med informasjonen.
Ved hjelp av infisert e-post-konto av en DOJ ansatt, han brukte sosial manipulering for å komme inn på etatens intranett, og laste ned 200 GB filer, hacker forklart til Hovedkortet.
Etter å ha mislyktes i å trenge inn i et DOJ Web-portal, hacker sa, ringte han til en offentlig etat, oppførte seg som en nybegynner, og ble gitt en kode for å få tilgang til portalen av en ansatt.
Når du er inne i portalen, hacker sa han fått tilgang til datamaskin som brukes av den personen som e-post han hadde kompromittert. Fra det, han hadde tilgang til DOJ ‘ s interne nettverket.
Untied Sko
Som nettangrep gå, dette var et lite ett.
“Det var en ganske enkel angrep kombinert med sosial manipulering, men dristig når du kommer etter en FBI-ansatte,” sa Richard Stiennon, chief research analyst med
DET-Harvest.
Det er lett for selvtilfredshet å sette inn i høy-volum samtale miljøer som regjeringen hjelp av fasiliteter som skrivebord, fortalte han TechNewsWorld.
“Hvis du vannflommen hjelp skrivebord med å tilbakestille passord forespørsler og lignende forespørsler, uten noen negative konsekvenser, og til slutt operatører kommer til å bli komfortabel med å dele ut logg tokens,” Stiennon forklart.
Dette bruddet illustrerer at uansett hvor sikker et system antas å være, det har alltid en akilleshæl, bemerket Jeff Hill, kanal marketing manager for
Stealthbits Teknologier.
“Alle avanserte algoritmer, maskinlæring og logg aggregatorer kan ikke beskytte en organisasjon fra en godtroende ansatt utsatt for ‘Se, din sko er untied’ ruse seg,” fortalte han TechNewsWorld.
Svakeste Leddet
Organisasjoner som trenger å overvåke ansattes atferd hvis de ønsker å være sikker, Hill er angitt.
“I dagens verden, de beste cybersecurity strategien er å lete etter og identifisere mistenkelig oppførsel av legitime kontoer,” sa han.
“Å tro at en sikkerhetsplan realistisk kan hindre motivert hackere fra å gå på akkord legitimasjon i første omgang er naive i beste fall,” Hill sa.
Mens noen organisasjoner har slått til trening for å bekjempe ansatt utnyttet av hackere, trening er ikke nok, vedlikeholdes Chase Cunningham, direktør for cyberthreat forskning og innovasjon i
Rustning, tidligere FireHost.
“Regjeringen mener det kan trene sine ansatte ut av dette, men dette er et bevis på at det ikke er tilfelle,” fortalte han TechNewsWorld.
“Regjeringen er bundet av budsjett det er gitt, slik at den ikke kan erstatte mennesker med teknologi,” la han til, “selv om det ville være den beste løsningen i mange tilfeller.”
