Расист и евгеник: кто передал властям личные данные граждан
История одной незашифрованной базы данных.
Бывший сотрудник DOGE отправил незашифрованную базу данных с личной информацией двум чиновникам администрации Трампа, что стало нарушением политики Минфина США. Данный факт всплыл в судебных документах.
Инцидент связан с иском, который в феврале подала генпрокурор штата Нью-Йорк вместе с 18 другими генпрокурорами штатов. Иск касается доступа DOGE к Бюро фискальных служб (BFS) Минфина США, которое отвечает за распределение триллионов долларов американским семьям, госслужащим и подрядчикам, а также за выплату соцпособий и программе Medicare, налоговых льгот, грантов и других платежей.
В новом судебном документе представлено показание под присягой Дэвида Амброуза, главного сотрудника BFS по безопасности и защите данных. Он сообщил суду, что бывший сотрудник DOGE Марко Элез нарушил правила Минфина, отправив нешифрованную базу данных с персональными данными и не получив предварительное одобрение на пересылку.
Элез получил доступ к системам BFS в январе и начале февраля, однако вскоре подал в отставку после того, как выяснилось, что он вел аккаунт в X*, в котором публиковал расистские высказывания и поддерживал «евгеническую иммиграционную политику».
После ухода Элеза ИБ-специалисты Минфина провели компьютерно-техническую экспертизу его электронной почты и корпоративного ноутбука. Анализ показал, что Элез не вносил изменений в систему платежей BFS, что опровергло слухи о полном доступе к продакшн-системам Минфина. У Элеза был лишь ноутбук с защищённой тестовой средой и копия исходного кода, а также возможность только просматривать данные без права вносить изменения.
Однако ранее представленные свидетельства показывают, что Элез всё же косвенно повлиял на идентификацию определённых платежей, чтобы облегчить их проверку для госсекретаря США. Также было установлено, что Элезу на короткий срок случайно предоставили доступ с возможностью записи, но статус быстро изменили на «только для чтения». На данный момент нет доказательств того, что он использовал доступ или был о нём осведомлён.
Пересылка базы данных с персональными данными представляет собой отдельное нарушение. Согласно судебным документам, в базе содержались имя (человека или организации), тип транзакции и сумма. Хотя информация не включала номера социального страхования (SSN) или другие критически важные данные, её передача без шифрования и без утверждённой формы 7005 нарушила политику BFS.
В показаниях свидетелей также затронут вопрос уровня допуска к секретной информации. Элез получил временный допуск «секретного» уровня 22 января, что дало ему право на доступ к системам и оборудованию BFS. Этот момент стал одним из ключевых аргументов в судебном разбирательстве, поскольку вызывает вопросы о степени проверки сотрудников DOGE перед допуском к государственным данным.
Недавно стало известно, что более 100 сотрудников CISA были уволены без предупреждения в конце февраля и начале марта. Среди уволенных в том числе оказались Red Team специалисты, отвечавшие за моделирование кибератак для выявления уязвимостей, а также эксперты по реагированию на инциденты. Увольнения были инициированы Департаментом эффективности правительства (DOGE), возглавляемым Илоном Маском.
* Социальная сеть запрещена на территории Российской Федерации.