美国退伍军人事务部(The Department of Veterans Affairs,VA)周一(14)公布网络系统遭黑事件,导致近4.6万名退伍军人个人信息外泄,国库的钱也被盗走。
事件起于由VA金融服务中心(Financial Services Center,FSC)管理一个和军人医保有关的线上应用遭未授权人士访问,并窃走VA要支付给地区医疗机构的钱。经过初步调查,这名人士利用社交工程手法及验证协议的漏洞,成功取得权限而访问应用系统,然后变更系统内的财务信息,以便转移钱的流向。
托管的FSC发现后已经将系统下线,直到内部IT系统完成彻底安全检查才会恢复开放使用。但是VA并未说明入侵事件发生及发现的时间点。
目前调查还在持续,但VA相信黑客也已访问退伍军人的个人信息,包括社会安全码等。VA已通知受影响的前官兵和遗族,并提供信用卡外泄监控服务。
这是VA已知第二起重大资料外泄事件。2006年5月VA一名员工家中遭窃,致使存有2,650万笔退伍军人资料的笔记本连带遗失。介入调查的监察长办公室曾批评,该部对于硬件资产遗失态度忽视、毫无警觉心。