近日，由于德州保險部門(TDI)的一個編程問題，德克薩斯近200萬人的個人信息被暴露了近三年。

據TDI透露，在此前發(fā)布的一份州審計報告中，從2019年3月到2022年1月，180萬提出賠償要求的工人的詳細信息在網上公開。其中包括社會安全號碼、地址、出生日期、電話號碼和有關工人受傷的信息。

在2022年3月24日的公告中，TDI表示，它于2022年1月4日首次發(fā)現管理工人薪酬信息的TDI Web 應用程序存在安全問題。此問題使公眾能夠訪問受保護的在線部分應用。

TDI是負責監(jiān)督德克薩斯州保險業(yè)并執(zhí)行州法規(guī)的州機構，在發(fā)現了這一問題后，它立即下線了該應用程序，解決了信息泄露的問題，并開始與一家取證公司一起調查該起泄露事件的性質和范圍。

接下來，TDI向2019年3月到2022年1月期間提交新的人工賠償要求的用戶發(fā)出信函，告知他們可能存在信息泄露的風險。根據最新的統(tǒng)計數據顯示，此次數據泄露共影響了德克薩斯州180萬人。

5月17日，TDI在新聞稿中寫到，自2022年1月開始，TDI開始調查調查以確定問題的嚴重性質和范圍，并與一家知名網絡安全公司合作，試圖找到除TDI工作人員以外的人查看這些用戶的個人信息。結果顯示，暫時沒有任何證據表明已經泄露了的員工個人信息被濫用。

TDI進一步表示，它將免費為可能受到影響的用戶提供 12 個月的信用監(jiān)控和身份保護服務。對此，Egnyte網絡安全宣傳總監(jiān)Neil Jones表示，最近發(fā)生的TDI數據泄露事件令人擔憂，因為工人的薪酬數據包括PII(個人身份信息)和PHI(受保護的健康信息)，它們是網絡攻擊者的最喜歡的數據資源。盡管目前沒有證據表明泄露的信息已經被惡意使用，但攻擊者往往會選擇一個更合適的時間，將竊取的數據在暗網上出售，這樣的例子并不少見。

同時，該數據泄露事件也給我們敲響了警鐘。隨著數字化的到來，政府機構數字化的趨勢已經十分明朗，然而在這個過程中很多機構的網絡安全防護體系并未建設完善，以至于屢屢出現相類似的安全事件，給公民信息安全帶來了嚴重的影響。

從TDI數據泄露事件中可以發(fā)現，很多低級的網絡安全錯誤并不少見。一個配置失誤就讓近兩百萬人的數據被曝光了整整三年，其中包含了大量的有價值的個人隱私信息。在這三年的時間里，該機構從未發(fā)現這一隱患，以至于發(fā)生了如此災難性事件。

換句話說，在互聯(lián)網化的道路上很多機構一味求快，早已存在的諸多安全風險，此時我們更應該回過頭反思安全性，而不是繼續(xù)埋頭跑步。畢竟只有基礎牢固，才能跑的更加長遠。

參考來源：https://www.infosecurity-magazine.com/news/personal-information-two-million/