Jaringan sebuah Departemen Energi pada awal tahun ini telah di-hack dengan memperbolehkan hacker mengunduh informasi pribadi dari 104.000 orang yang merupakan hasil dari sistem satu dekade, beberapa darinya tidak di-install update keamanan dalam beberapa tahun, berdasarkan informasi dari pengawas federal.
Pada bulan Juli database dari departemen Employee Data Repository berhasil di-hack yang ketiga kalinya terjadi sejak tahun 2011, Inspektur Jenderal DOE, Gregory H. Friedman menuliskan ulasan mengenai pelanggaran tersebut. Hasil hacking mengakibatkan exfiltration pada lebih dari 104.000 Personally Identifiable Information (PII), termasuk nomor jaminan sosial mereka, data rekening bank, tanggal dan tempat lahir, nama pengguna, dan jawaban atas pertanyaan keamanan. Departemen mengharapakan biaya $3.7 juta untuk menyiapkan monitoring kredit dan kehilangan produktivitas. Angka tersebut tidak termasuk biaya untuk memperbaiki sistem yang rusak.
Inspektur tinjauan umum menceritakan kegagalan yang menyebabkan hacker bisa masuk ke pertahanan sistem. Diantara mereka ditemukan tidak ada satupun tabel database yang terdiri dari 354 nomor jaminan sosial yang telah dienkripsi. Dengan menggunakan kriptografi yang kuat untuk melindungi seperti “at rest” pada PII yang telah lama dianggap sebagai praktek terbaik dalam pemerintahan dan keamanan data perusahaan. Management information system (MIS) dari departemen juga memungkinkan akses ke database DOEInfo ternyata gagal untuk meminta peningkatan keamanan secara umum, seperti two-factor authentication atau jaringan pribadi virtual.
Paling mencolok dari semuanya adalah anggota dari Kantor departemen Chief Information Officer (OCIO) gagal untuk menerapkan patch keamanan, terkadang terjadi bertahun-tahun tanpa harus meng-install update yang tersedia. Berdasarkan ulasan:
We found that the Department had not taken appropriate action to remediate known vulnerabilities in its systems either through patches, system enhancements, or upgrades. Critical security vulnerabilities in certain software supporting the MIS application had not been patched or otherwise hardened for a number of years. Specifically, an operating system utility and a third-party development application that were installed on the MIS server had not been updated since early 2011. In addition, the vulnerability exploited by the attacker was specifically identified by the vendor in January 2013. As a system within the Headquarters environment, the OCIO was responsible for maintaining and patching the underlying infrastructure and the operating system on which MIS and DOEInfo operated. Further, although an upgrade for the application upon which MIS was built had been purchased jointly by the OCIO and OCFO [Office of the Chief Financial Officer] in March 2013, it was not installed until after the breach occurred. The upgrade had been in the test environment since June 2013, but officials commented that it had not been applied to the operating environment because of functionality issues with an interconnected system. For the past nine years, the Department’s ongoing struggles with vulnerability management have been noted in our annual reports on the Department’s unclassified cyber security program issued in accordance with the Federal Information Security Management Act of 2002.
Pada bulan Oktober, jaksa federal menuduh seorang pria Inggris atas hacking dari ribuan sistem komputer yang dioperasikan oleh Departemen Energi dan organisasi lainnya yang mencuri sejumlah besar data yang mengakibatkan jutaan dolar kerusakan bagi korban. Hacking, yang tanggal terjadi pada awal Oktober 2012, dilakukan dengan memanfaatkan kerentanan dalam database SQL dan aplikasi the Adobe ColdFusion Web. Pada bulan Agustus, seorang pria Pennsylvania berumur 23 tahun mengaku bersalah atas tuduhan pada hacking jaringan komputer yang dioperasikan oleh sejumlah organisasi, termasuk Departemen Energi.
Berdasarkan temuan dari inspektur jenderal, itu tidak sulit untuk melihat mengapa hacker secara teratur mudah masuk ke pertahanan DOE.
Sumber
Pada bulan Juli database dari departemen Employee Data Repository berhasil di-hack yang ketiga kalinya terjadi sejak tahun 2011, Inspektur Jenderal DOE, Gregory H. Friedman menuliskan ulasan mengenai pelanggaran tersebut. Hasil hacking mengakibatkan exfiltration pada lebih dari 104.000 Personally Identifiable Information (PII), termasuk nomor jaminan sosial mereka, data rekening bank, tanggal dan tempat lahir, nama pengguna, dan jawaban atas pertanyaan keamanan. Departemen mengharapakan biaya $3.7 juta untuk menyiapkan monitoring kredit dan kehilangan produktivitas. Angka tersebut tidak termasuk biaya untuk memperbaiki sistem yang rusak.
Inspektur tinjauan umum menceritakan kegagalan yang menyebabkan hacker bisa masuk ke pertahanan sistem. Diantara mereka ditemukan tidak ada satupun tabel database yang terdiri dari 354 nomor jaminan sosial yang telah dienkripsi. Dengan menggunakan kriptografi yang kuat untuk melindungi seperti “at rest” pada PII yang telah lama dianggap sebagai praktek terbaik dalam pemerintahan dan keamanan data perusahaan. Management information system (MIS) dari departemen juga memungkinkan akses ke database DOEInfo ternyata gagal untuk meminta peningkatan keamanan secara umum, seperti two-factor authentication atau jaringan pribadi virtual.
Paling mencolok dari semuanya adalah anggota dari Kantor departemen Chief Information Officer (OCIO) gagal untuk menerapkan patch keamanan, terkadang terjadi bertahun-tahun tanpa harus meng-install update yang tersedia. Berdasarkan ulasan:
We found that the Department had not taken appropriate action to remediate known vulnerabilities in its systems either through patches, system enhancements, or upgrades. Critical security vulnerabilities in certain software supporting the MIS application had not been patched or otherwise hardened for a number of years. Specifically, an operating system utility and a third-party development application that were installed on the MIS server had not been updated since early 2011. In addition, the vulnerability exploited by the attacker was specifically identified by the vendor in January 2013. As a system within the Headquarters environment, the OCIO was responsible for maintaining and patching the underlying infrastructure and the operating system on which MIS and DOEInfo operated. Further, although an upgrade for the application upon which MIS was built had been purchased jointly by the OCIO and OCFO [Office of the Chief Financial Officer] in March 2013, it was not installed until after the breach occurred. The upgrade had been in the test environment since June 2013, but officials commented that it had not been applied to the operating environment because of functionality issues with an interconnected system. For the past nine years, the Department’s ongoing struggles with vulnerability management have been noted in our annual reports on the Department’s unclassified cyber security program issued in accordance with the Federal Information Security Management Act of 2002.
Pada bulan Oktober, jaksa federal menuduh seorang pria Inggris atas hacking dari ribuan sistem komputer yang dioperasikan oleh Departemen Energi dan organisasi lainnya yang mencuri sejumlah besar data yang mengakibatkan jutaan dolar kerusakan bagi korban. Hacking, yang tanggal terjadi pada awal Oktober 2012, dilakukan dengan memanfaatkan kerentanan dalam database SQL dan aplikasi the Adobe ColdFusion Web. Pada bulan Agustus, seorang pria Pennsylvania berumur 23 tahun mengaku bersalah atas tuduhan pada hacking jaringan komputer yang dioperasikan oleh sejumlah organisasi, termasuk Departemen Energi.
Berdasarkan temuan dari inspektur jenderal, itu tidak sulit untuk melihat mengapa hacker secara teratur mudah masuk ke pertahanan DOE.
Sumber