Datenschutzverletzung des Amtes für Personalmanagement - Office of Personnel Management data breach
Im Juni 2015 gab das United States Office of Personnel Management (OPM) bekannt, dass es das Ziel einer Datenschutzverletzung war, die auf Personalakten abzielte. Ungefähr 22,1 Millionen Datensätze waren betroffen, darunter Datensätze zu Regierungsangestellten, anderen Personen, die sich einer Hintergrundüberprüfung unterzogen hatten, sowie deren Freunden und Familie. Bei einem der größten Verstöße gegen Regierungsdaten in der Geschichte der USA handelte es sich bei den im Rahmen des Verstoßes erlangten und exfiltrierten Informationen um personenbezogene Daten wie Sozialversicherungsnummern sowie Namen, Geburtsdaten und -orte sowie Adressen. Staatlich geförderte Hacker, die im Auftrag der chinesischen Regierung arbeiteten, führten den Angriff durch.
Die Datenschutzverletzung bestand aus zwei separaten, aber miteinander verbundenen Angriffen. Es ist unklar, wann der erste Angriff stattfand, aber der zweite Angriff ereignete sich am 7. Mai 2014, als sich Angreifer als Angestellte von KeyPoint Government Solutions, einem Zulieferunternehmen, ausgeben. Der erste Angriff wurde am 20. März 2014 entdeckt, aber der zweite Angriff wurde erst am 15. April 2015 entdeckt. Nach dem Ereignis traten Katherine Archuleta , die Direktorin von OPM, und die CIO, Donna Seymour, zurück.
Entdeckung
Der erste Verstoß, der vom Department of Homeland Security (DHS) als "X1" bezeichnet wurde , wurde am 20. März 2014 entdeckt, als ein Dritter das DHS über die Datenexfiltration aus dem OPM-Netzwerk benachrichtigte.
In Bezug auf die zweite Sicherheitsverletzung mit dem Namen "X2" hatte die New York Times berichtet, dass die Infiltration mit dem Einstein- Intrusion-Detection-Programm des United States Computer Emergency Readiness Team (US-CERT) entdeckt wurde . Das Wall Street Journal , Wired , Ars Technica und Fortune berichteten jedoch später, dass unklar sei, wie der Verstoß entdeckt wurde. Sie berichteten, dass es sich möglicherweise um eine Produktdemonstration von CyFIR handelt, einem kommerziellen forensischen Produkt des Sicherheitsunternehmens CyTech Services aus Manassas, Virginia , das die Infiltration aufgedeckt hat. Diese Berichte wurden anschließend von CyTech Services in einer Pressemitteilung des Unternehmens vom 15. Juni 2015 diskutiert, um Widersprüche des OPM-Sprechers Sam Schumach in einer späteren Ausgabe des Fortune-Artikels zu klären. Es war jedoch nicht CyTech Services, die die Infiltration aufdeckten; es wurde vielmehr von OPM-Mitarbeitern mit einem Softwareprodukt des Anbieters Cylance entdeckt. Im abschließenden Bericht der Mehrheit der Mitarbeiter des Repräsentantenhauses über die OPM-Verletzung wurden keine Anhaltspunkte dafür gefunden, dass CyTech Services zum Zeitpunkt der Produktdemonstration von der Beteiligung von Cylance wusste oder bereits von einer bestehenden Verletzung wusste, was zu dem Ergebnis führte, dass beide Tools unabhängig voneinander waren den im OPM-Netzwerk ausgeführten Schadcode "entdeckt".
Datendiebstahl
Diebstahl von Informationen zur Sicherheitsüberprüfung
Die Datenschutzverletzung kompromittiert hochsensibles 127-seitiges Standardformular 86 (SF 86) (Fragebogen für nationale Sicherheitspositionen). SF-86-Formulare enthalten Informationen über Familienmitglieder, College-Mitbewohner, ausländische Kontakte und psychologische Informationen. Ursprünglich erklärte OPM, dass die Namen von Familienmitgliedern nicht kompromittiert wurden, aber das OPM bestätigte später, dass die Ermittler „ein hohes Maß an Vertrauen darauf haben, dass OPM-Systeme Informationen zu den Hintergrunduntersuchungen von aktuellen, ehemaligen und zukünftigen Mitarbeitern der Bundesregierung enthalten, einschließlich US-Militärpersonal und diejenigen, für die eine bundesstaatliche Hintergrunduntersuchung durchgeführt wurde, wurden möglicherweise exfiltriert." Die Central Intelligence Agency verwendet das OPM-System jedoch nicht; Daher ist es möglicherweise nicht betroffen.
Diebstahl persönlicher Daten
J. David Cox, Präsident der American Federation of Government Employees , schrieb in einem Brief an OPM-Direktorin Katherine Archuleta, dass auf der Grundlage der unvollständigen Informationen, die die AFGE von OPM erhalten hatte, „wir glauben, dass die zentrale Personaldatendatei das Ziel war Datenbank, und dass die Hacker nun im Besitz aller Personaldaten jedes Bundesbediensteten, jedes Bundesrentners und bis zu einer Million ehemaliger Bundesbediensteter sind." Cox erklärte, dass die AFGE der Ansicht ist, dass der Verstoß Militärakten, Statusinformationen von Veteranen, Adressen, Geburtsdaten, Job- und Gehaltshistorie, Krankenversicherungs- und Lebensversicherungsinformationen, Renteninformationen sowie Daten zu Alter, Geschlecht und Rasse beeinträchtigt hat.
Diebstahl von Fingerabdrücken
Zu den gestohlenen Daten gehörten 5,6 Millionen Fingerabdrücke. Der Biometrie-Experte Ramesh Kesanupalli sagte, Geheimagenten seien deswegen nicht mehr sicher, da sie durch ihre Fingerabdrücke identifiziert werden könnten, selbst wenn ihr Name geändert wurde.
Täter
Überwältigender Konsens ist, dass der Cyberangriff von staatlich geförderten Angreifern für die chinesische Regierung ausgeführt wurde . Der Angriff hatte seinen Ursprung in China, und das Hintertür- Tool PlugX, das für das Eindringen verwendet wurde, wurde zuvor von chinesischsprachigen Hackergruppen verwendet, die auf tibetische und Hongkonger politische Aktivisten abzielen. Die Verwendung von Superheldennamen ist auch ein Markenzeichen von mit China verbundenen Hackergruppen.
Der Bericht des Ausschusses für Aufsicht und Regierungsreform des Repräsentantenhauses über den Verstoß deutet stark darauf hin, dass es sich bei den Angreifern um staatliche Akteure handelt, da eine sehr spezifische und hoch entwickelte Malware verwendet wird . Der Beamte des US-Heimatschutzministeriums, Andy Ozment, sagte aus, dass die Angreifer, wahrscheinlich durch Social Engineering, gültige Zugangsdaten für die von ihnen angegriffenen Systeme erlangt hätten . Der Verstoß bestand auch aus einem Malware-Paket, das sich im Netzwerk von OPM installierte und eine Hintertür etablierte. Von dort aus erweiterten Angreifer ihre Berechtigungen, um Zugriff auf eine Vielzahl von OPM-Systemen zu erhalten. Ars Technica berichtete, dass sich mindestens ein Arbeiter mit Root-Zugriff auf jede Zeile in jeder Datenbank physisch in China befand. Ein anderer Auftragnehmer hatte zwei Angestellte mit chinesischen Pässen .
China bestritt die Verantwortung für den Angriff.
Im Jahr 2017 wurde der chinesische Staatsbürger Yu Pingan unter dem Vorwurf festgenommen, die Malware „Sakula“ bereitgestellt zu haben, die bei der OPM-Datenverletzung und anderen Cyberangriffen verwendet wurde. Das FBI nahm Yu am Los Angeles International Airport fest, nachdem er zu einer Konferenz in die USA geflogen war. Yu verbrachte 18 Monate im Bundesgefängnis San Diego und bekannte sich des Bundesvergehens der Verschwörung zum Computer-Hacking schuldig und wurde anschließend nach China abgeschoben. Er wurde im Februar 2019 zu einer Freiheitsstrafe verurteilt und durfte nach China zurückkehren; Ende des Jahres arbeitete Yu als Lehrer an der staatlichen Shanghai Commercial School im Zentrum von Shanghai . Yu wurde zu einer Entschädigung in Höhe von 1,1 Millionen US-Dollar an Unternehmen verurteilt, die von der Malware betroffen sind, obwohl die Möglichkeit einer tatsächlichen Rückzahlung kaum besteht. Yu war einer der wenigen chinesischen Hacker, die in den USA verhaftet und verurteilt wurden; Die meisten Hacker werden nie gefasst.
Motiv
Ob der Angriff durch kommerziellen Gewinn motiviert war, bleibt unklar. Es wurde vermutet, dass Hacker, die für das chinesische Militär arbeiten, beabsichtigen, eine Datenbank mit Amerikanern zu erstellen, die die Daten des Angriffs verwenden.
Warnungen
Das OPM war mehrfach vor Sicherheitslücken und -fehlern gewarnt worden. Ein Halbjahresbericht des OPM- Büros des Generalinspekteurs vom März 2015 an den Kongress warnte vor „anhaltenden Mängeln im Informationssystem-Sicherheitsprogramm von OPM“, einschließlich „unvollständiger Sicherheitsautorisierungspakete, Schwächen beim Testen von Informationssicherheitskontrollen und ungenauen Aktionsplänen und Meilensteinen“. ."
Eine Geschichte in der New York Times vom Juli 2014 zitierte ungenannte hochrangige amerikanische Beamte, die sagten, dass chinesische Hacker in OPM eingebrochen seien. Die Beamten sagten, dass die Hacker anscheinend auf Dateien von Arbeitern abzielten, die Sicherheitsüberprüfungen beantragt hatten und Zugang zu mehreren Datenbanken erhalten hatten, aber gestoppt worden waren, bevor sie die Informationen über die Sicherheitsüberprüfung erhielten. In einem Interview später in diesem Monat sagte Katherine Archuleta , die Direktorin von OPM, dass das Wichtigste sei, dass keine persönlichen Identifikationsinformationen kompromittiert worden seien.
Verantwortung
Einige Gesetzgeber forderten Archuleta zum Rücktritt mit der Begründung von Missmanagement und dass sie eine politische Beauftragte und ehemalige Obama-Wahlkampffunktionärin ohne Abschluss oder Erfahrung im Personalwesen sei . Sie antwortete, dass weder sie noch die Chief Information Officer von OPM, Donna Seymour, dies tun würden. "Ich bin der Arbeit, die ich bei OPM mache, verpflichtet", sagte Archuleta gegenüber Reportern. "Ich habe Vertrauen in die Mitarbeiter, die da sind." Am 10. Juli 2015 trat Archuleta als OPM-Direktorin zurück.
Daniel Henningerer , stellvertretender Redaktions Seite Direktor des Wall Street Journal , spricht über Fox News ' Journal Editorial Bericht kritisierte die Ernennung von Archuleta zu sein ‚verantwortlich für eine der empfindlichsten Stellen‘ in der US - Regierung und sagt: „Was ist Ihre Erfahrung, so etwas zu leiten? Sie war die nationale politische Direktorin von Barack Obamas Wiederwahlkampagne 2012. Sie ist auch die Leiterin einer sogenannten Latina-Initiative. Sie ist eine Politikerin, oder? ... Das ist die Art von Person, die sie haben hineingelegt haben."
Sicherheitsexperten haben festgestellt, dass das größte Problem bei der Sicherheitsverletzung nicht das Versäumnis war, Einbrüche aus der Ferne zu verhindern, sondern das Fehlen von Mechanismen zur Erkennung von Eindringlingen von außen und das Fehlen einer ordnungsgemäßen Verschlüsselung sensibler Daten. OPM-CIO Donna Seymour entgegnete dieser Kritik, indem sie auf die alternden Systeme der Agentur als Haupthindernis für die Einführung solcher Schutzmaßnahmen hinwies, obwohl Verschlüsselungstools zur Verfügung standen. Andy Ozment, stellvertretender Sekretär des DHS für Cybersicherheit und Kommunikation, erklärte weiter: „Wenn ein Gegner die Anmeldeinformationen eines Benutzers im Netzwerk hat, kann er auf Daten zugreifen, auch wenn sie verschlüsselt sind, genau wie die Benutzer im Netzwerk auf Daten zugreifen müssen, und das ist in diesem Fall passiert. Eine Verschlüsselung hätte diese Daten in diesem Fall also nicht geschützt."
Ermittlung
In einem Memo vom 22. Juli 2015 von Generalinspekteur Patrick McFarland heißt es, dass Donna Seymour, Chief Information Officer von OPM, ihre Untersuchung des Verstoßes verlangsamen würde, was ihn dazu veranlasste, sich zu fragen, ob sie in gutem Glauben handelte oder nicht. Er machte keine konkreten Vorwürfe wegen Fehlverhaltens geltend, sagte jedoch, dass ihr Büro eine "Atmosphäre des Misstrauens" fördere, indem sie ihm "falsche oder irreführende" Informationen gebe. Am Montag, 22. Februar 2016, trat CIO Donna Seymour zurück, nur zwei Tage bevor sie vor einem Gremium des Repräsentantenhauses aussagen sollte, das die Datenschutzverletzung weiter untersucht.
Im Jahr 2018 war das OPM Berichten zufolge immer noch anfällig für Datendiebstahl, wobei 29 der 80 Empfehlungen des Government Accountability Office nicht berücksichtigt wurden. Insbesondere verwendete das OPM Berichten zufolge immer noch Passwörter, die bei der Verletzung gestohlen worden waren. Es hatte auch die Praxis der gemeinsamen Nutzung von Verwaltungskonten zwischen Benutzern nicht eingestellt, obwohl bereits 2003 von dieser Praxis abgeraten wurde.
Reaktionen
FBI-Direktor James Comey sagte: „Es ist eine sehr große Sache aus der Perspektive der nationalen Sicherheit und der Spionageabwehr. Es ist eine Fundgrube an Informationen über alle, die für die Regierung der Vereinigten Staaten gearbeitet haben, versucht haben, für sie zu arbeiten oder für die Regierung der Vereinigten Staaten arbeiten. "
Auf einem Forum in Washington, DC, sagte James R. Clapper , Direktor des Nationalen Geheimdienstes : „Man muss die Chinesen für ihre Taten loben Zögere eine Minute."
Siehe auch
- 2020 Datenschutzverletzung des US-Finanzministeriums und des Handelsministeriums
- Cyberkrieg durch China
- Operation Aurora
- Yahoo! Datenschutzverletzungen