Pentagon przyznał, że ok. 30 tys. pracowników wojskowych i personelu cywilnego zostało narażonych na ujawnienie prywatnych danych. W wyniku naruszenia, osoby niepowołane uzyskały dostęp do danych osobowych pracowników i szczegółów ich kart kredytowych.
Naruszenie danych nastąpiło u zewnętrznego dostawcy, świadczącego Departamentowi Obrony usługi związane z podróżami. Dostawca, który ze względu na bezpieczeństwo i obowiązujące kontrakty nie został jeszcze ujawniony opinii publicznej, nie miał obowiązku informowania Pentagonu o incydencie. To należący do Departamentu Obrony zespół odpowiedzialny za bezpieczeństwo informatyczne wykrył naruszenie danych.
Według raportu Associated Press możliwe jest, że do naruszenia doszło już kilka miesięcy temu, i że dalsze dochodzenia mogą ujawnić jeszcze większą skalę nadużycia.
Departament Obrony twierdzi, że rozpoczął powiadamianie osób dotkniętych naruszeniem bezpieczeństwa. Narażonym w incydencie pracownikom opłacone zostaną usługi monitorowania ewentualnych przypadków wykorzystania ukradzionych danych przez osoby niepowołane.
Rzecznik prasowy Pentagonu, ppłk. Joseph Buccino, wydał oświadczenie potwierdzające, że naruszenie nie dotknęło wszystkich pracowników korzystających z usług firmy zarządzającej podróżami:
Departament nadal gromadzi dodatkowe informacje dotyczące incydentu, z którym wiąże się potencjalne zagrożenie osobistych danych tych pracowników Departamentu, którzy obsługiwani byli przez jednego z komercyjnych dostawców usług zarządzania podróżami. Dostawca ten obsłużył jedynie niewielką część ogólnej liczby podróży odbytych przez pracowników Departamentu.
Jedną z dobrych wiadomości jest to, że prawdopodobnie nie wyciekły żadne informacje niejawne. Jednak wiadomość o naruszeniu pojawia się w bardzo niedogodnym dla amerykańskiego Departamentu Obrony momencie. W wyniku wydanego w ubiegłym tygodniu przez rządowe biuro rozliczeń raportu, działalność Departamentu jest obecnie bardzo uważnie analizowana. W raporcie tym stwierdzono, że słabe zabezpieczenia narażają systemy uzbrojenia najnowszej generacji na ataki hakerskie.
Wskazano na jeden przypadek, gdy nieautoryzowani użytkownicy mogli przez godzinę uzyskiwać dostęp do systemu uzbrojenia i że Pentagon nie przestrzegał podstawowych zasad zobowiązujących do zmiany domyślnych haseł .
Jeden z raportów testu bezpieczeństwa wskazał, że tester potrzebował dziewięciu sekund na odgadnięcie hasła administratora. Ponadto w przypadku wielu systemów obronnych, wykorzystujących oprogramowanie komercyjne lub typu open-source, po zainstalowaniu oprogramowania nie zmieniono domyślnych haseł – komentuje Dawid Kraiński, Product Marketing Manager Bitdefender z firmy Marken.
W przeszłości przytrafiały się rządowi USA przypadki naruszenia bezpieczeństwa, dotykające znacznie większej liczby osób niż szacunkowe 30 tys., o których teraz mowa. Jednak instytucję taką, jak Departament Obrony, nie zwalnia to z obowiązku zagwarantowania jak najlepszej ochrony nie tylko własnych systemów, ale także pilnowania tego, jak dobrze wrażliwe dane Departamentu chronione są przez podmioty zewnętrzne.
