三年间近两百万德州民众个人信息遭到曝光

近期，因德州德州保险部门(TDI)的一个编程问题，被爆出德克萨斯近200万民众的个人信息被暴露了近三年的问题。

据TDI透露，在此前发布的一份州审计报告中，在2019年3月到2022年1月将近三年的时间内，180万提出赔偿要求的工人的详细信息在网上公开。其中包括地址、电话号码、社会安全号码、出生日期、和有关工人受伤的相关信息。

在一篇发布于2022年3月24日的公告中，TDI表示，它于2022年1月4日首次发现管理工人薪酬信息的TDI Web应用程序存在安全问题。通过这种方式使公众能够访问受保护的在线部分应用。

TDI是负责监督德克萨斯州保险业并执行州法规的州机构，在发现了这一问题后，它立即下线了该应用程序，解决了信息泄露的问题，及时保护了民众的信息安全，并开始与一家取证公司一起调查该起泄露事件的性质和范围，力求能给民众一个合理的说法。

接下来，TDI向2019年3月到2022年1月期间提交新的人工赔偿要求的用户发出信函，告知他们可能存在信息泄露的风险。根据最新的统计数据显示，此次数据泄露共影响了德克萨斯州180万人。

5月17日，TDI在新闻稿中写到，自2022年1月开始，TDI开始着手调查以确定问题的严重性质和范围，通过与一家知名网络安全公司合作，试图找到除TDI工作人员以外的人查看这些用户的个人信息。

结果显示，暂时没有任何证据表明员工个人信息处于泄露和被滥用的状态。

TDI进一步表示，它将免费为可能受到影响的用户提供12个月的信用监控和身份保护服务。

对此，Egnyte网络安全宣传总监Neil Jones表示，最近发生的TDI数据泄露事件令人担忧，因为工人的薪酬数据包括PII（个人身份信息）和PHI（受保护的健康信息），它们是网络攻击者的最喜欢的数据资源。

尽管目前没有证据表明泄露的信息已经被恶意使用，但攻击者往往会选择一个更合适的时间，将窃取的数据在暗网上出售，类似这样的案件还是会常有发生的。

从此次TDI数据泄露事件中不难看出，经常会因为一个配置上的失误，产生了低级的网络安全事故。使近两百万人的数据被曝光了近三年时间，还包括了大量的有价值的个人隐私信息。

在这三年的时间里，该机构缺乏足够的重视，以至于，从未发现这一隐患，导致发生了如此灾难性事件。

在数字化的时代，我们更应该从根源上重视数据的安全性，而不是只局限于表面。