近日，由于德州保险部门(TDI)的一个编程问题，德克萨斯近200万人的个人信息被暴露了近三年。 据TDI透露，在此前发布的一份州审计报告中，从2019年3月到2022年1月，180万提出赔偿要求的工人的详细信息在网上公开。其中包括社会安全号码、地址、出生日期、电话号码和有关工人受伤的信息。 在2022年3月24日的公告中，TDI表示，它于2022年1月4日首次发现管理工人薪酬信息的TDI Web 应用程序存在安全问题。此问题使公众能够访问受保护的在线部分应用。 TDI是负责监督德克萨斯州保险业并执行州法规的州机构，在发现了这一问题后，它立即下线了该应用程序，解决了信息泄露的问题，并开始与一家取证公司一起调查该起泄露事件的性质和范围。 接下来，TDI向2019年3月到2022年1月期间提交新的人工赔偿要求的用户发出信函，告知他们可能存在信息泄露的风险。根据最新的统计数据显示，此次数据泄露共影响了德克萨斯州180万人。 5月17日，TDI在新闻稿中写到，自2022年1月开始，TDI开始调查调查以确定问题的严重性质和范围，并与一家知名网络安全公司合作，试图找到除TDI工作人员以外的人查看这些用户的个人信息。结果显示，暂时没有任何证据表明已经泄露了的员工个人信息被滥用。 TDI进一步表示，它将免费为可能受到影响的用户提供 12 个月的信用监控和身份保护服务。对此，Egnyte网络安全宣传总监Neil Jones表示，最近发生的TDI数据泄露事件令人担忧，因为工人的薪酬数据包括PII（个人身份信息）和PHI（受保护的健康信息），它们是网络攻击者的最喜欢的数据资源。尽管目前没有证据表明泄露的信息已经被恶意使用，但攻击者往往会选择一个更合适的时间，将窃取的数据在暗网上出售，这样的例子并不少见。 同时，该数据泄露事件也给我们敲响了警钟。随着数字化的到来，政府机构数字化的趋势已经十分明朗，然而在这个过程中很多机构的网络安全防护体系并未建设完善，以至于屡屡出现相类似的安全事件，给公民信息安全带来了严重的影响。 从TDI数据泄露事件中可以发现，很多低级的网络安全错误并不少见。一个配置失误就让近两百万人的数据被曝光了整整三年，其中包含了大量的有价值的个人隐私信息。在这三年的时间里，该机构从未发现这一隐患，以至于发生了如此灾难性事件。 换句话说，在互联网化的道路上很多机构一味求快，早已存在的诸多安全风险，此时我们更应该回过头反思安全性，而不是继续埋头跑步。毕竟只有基础牢固，才能跑的更加长远。   转自 Freebuf，原文链接：https://www.freebuf.com/news/333613.html 封面来源于网络，如有侵权请联系删除