.webp?w=696&resize=696,0&ssl=1 "Ülke Sosyal Güvenlik Bilgilerinin kopyasını oluşturmakla suçlanan Doge")
Bugün yapılan bir ihbar açıklaması, Sosyal Güvenlik İdaresi (SSA) içindeki Hükümet Verimliliği Departmanı’nın (DOE) gizli bir şekilde, ülkenin tüm Sosyal Güvenlik veri kümesinin teminatsız bir bulut ortamında canlı bir kopyasını oluşturduğunu iddia ediyor.
Baş Veri Sorumlusu Charles Borges, kötü niyetli aktörlerin erişim kazanması durumunda 300 milyondan fazla Amerikalının kimlik hırsızlığı, kritik faydalar kaybı ve her sosyal güvenlik numarasını yeniden yayınlamanın anıtsal göreviyle karşılaşabileceği konusunda uyardı.
Key Takeaways
1. DOGE copied 300M SSNs into an unsecured AWS cloud.
2. An automated ETL pipeline synced live SSN data despite a court order.
3. The lapse risks mass identity theft and demands zero-trust security.
Teminatsız bulut depolama iddiaları
ABD Özel Danışmanlık Ofisi’ne sunulan korunan açıklamaya göre, DOGE yetkilileri standart bilgi güvenliği ve uyumluluk (ISC) kontrollerini atladı, Canlı Sosyal Güvenlik Numarası (SSN) kayıtlarını içeren bir bulut örneği sağlanırken, şifreleme, rest, rol tabanlı erişim kontrolü (RBAC) ve sürekli denetim günlüğü dahil.
Borges, Amazon Web Hizmetleri (AWS) S3 kovası PII’yi depolamadan önce ne bağımsız güvenlik açığı değerlendirmelerinin ne de penetrasyon testlerinin yapılmadığını veya katı kimlik ve erişim yönetimi (IAM) politikaları uygulanmadığını belirtiyor.
Bulut ortamı API uç noktalarında çok faktörlü kimlik doğrulama (MFA) yoktu ve SSN deposunu kimlik bilgisi doldurma veya API anahtar sızıntısına karşı savunmasız hale getiren güvenli bir anahtar yönetim hizmeti (KMS) kullanmadı.
Mahkeme kayıtları, Mart 2025’te açılan bir davanın, DOGE’nin 6 Haziran 2025’e kadar üretim SSN sistemlerine erişmesini engelleyen geçici bir sınırlama emriyle sonuçlandığını gösteriyor.
Bununla birlikte, Borges tarafından gözden geçirilen dahili günlükler, DOGE mühendislerinin, Python komut dosyaları ve SSA’nın dahili dinlenme API’lerini kullanarak, SSA’nın Güvenlik Operasyon Merkezi (SOC) dışındaki canlı veritabanını etkili bir şekilde klonlayarak otomatik bir ETL boru hattı aracılığıyla verileri senkronize etmeye devam ettiğini göstermektedir.
Borges, Doge’in eylemlerinin SSA’nın Değişim Yönetim Kurulunu (CMB) atlayarak ve federal bulut güvenlik tavsiyesini (NIST SP 800-144) ihlal ederek ciddi bir şekilde kötü yönetim ve otorite kötüye kullandığını iddia ediyor.
Borges, “Bu operasyon sadece Gizlilik Yasası’nı ihlal etmekle kalmıyor, aynı zamanda halkı önemli bir siber saldırı yüzeyine maruz bırakıyor” diye yazdı.
Bir SSA yöneticisinin, verilerin tehlikeye girmesi durumunda Ajansın SSN’leri toplu olarak yeniden yayınlaması gerekebileceğini belirterek riski kabul ettiği bildirildi.
Bilgi uçağı danışmanı Andrea Meza, Kongre ve Özel Danışmanlık Ofisi’ni derhal gözetim başlatmaya çağırdı.
Sıfır-tröst mimarisinin uygulanması, erişim anahtarlarının döndürülmesi ve gerçek zamanlı saldırı tespit sistemlerinin (ID’ler) dağıtılması gibi azaltma önlemlerinin Amerikalıların en hassas tanımlayıcılarını korumak için gecikmeden uygulanması gerektiğini vurguladı.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.