DOGE cargó una copia en vivo de la base de datos del Seguro Social al servidor en la nube ‘vulnerable’, dice WhistleBlower
Un alto funcionario de la Administración del Seguro Social convertido en denunciante dice que los miembros del Departamento de Eficiencia del Gobierno de la Administración Trump (DOGE) cargaron cientos de millones de registros de seguridad social a un servidor de la nube vulnerable, lo que pone la información personal de la mayoría de los estadounidenses en riesgo de compromiso.
Charles Borges, director de datos de la Administración del Seguro Social, dijo en Una queja de denunciantes recientemente lanzada publicada el martes Que otros altos funcionarios de la agencia firmaron una decisión en junio de cargar “una copia en vivo de la información del Seguro Social del país en un entorno en la nube que elude a la supervisión”, a pesar de que los Borges plantean preocupaciones.
La base de datos, conocida como el sistema de identificación numérica, contiene más de 450 millones de registros que contienen todos los datos presentados como parte de una aplicación del Seguro Social, incluido el nombre del solicitante, el lugar de nacimiento, la ciudadanía y los números de seguridad social de sus familiares, así como otra información personal y financiera sensible.
Borges dijo que los miembros de doge, el Equipo de ex empleados de Elon Musk designados para el gobierno bajo la apariencia de reducir el fraude y el desperdiciocopió la base de datos confidencial a un servidor en la nube con alojamiento de Amazon con agencia “aparentemente carente de controles de seguridad independientes”, como a quién estaba accediendo a los datos y cómo los estaban usando.
La falta de protecciones de seguridad violó los controles de seguridad de la agencia interna y las leyes federales de privacidad, alega la queja.
Borges dijo que al permitir que Doge sea administradores de la nube de la agencia, los agentes de Doge podrían crear “servicios de acceso público”, lo que significa que podrían permitir el acceso público al sistema de la nube y cualquiera de los datos confidenciales almacenados en el interior.
Borges advirtió en la queja que si esta información se vio comprometida, “es posible que el delicado [personally identifiable information] En cada estadounidense, incluidos los diagnósticos de salud, los niveles de ingresos e información bancaria, las relaciones familiares y los datos biográficos personales podrían exponerse públicamente y compartirse ampliamente ”.
La queja dijo que cualquier compromiso o acceso no autorizado a la base de datos tendría un “impacto catastrófico” en el Programa de Seguridad Social de los Estados Unidos, que describe el peor de los casos como potencialmente tener que volver a emitir los números de seguridad social de todos.
Mientras que una orden de restricción federal en marzo Inicialmente bloqueó a los empleados de Doge Desde el acceso a la base de datos de los registros del Seguro Social del país, la Corte Suprema levantó la orden el 6 de junio, allanando el camino para el acceso de Doge.
En los días que siguieron, Dege supuestamente trabajó para buscar aprobaciones internas de los principales latones de la agencia, según la queja de Borges.
El director de información de la agencia Aram Moghaddassi Aprobó el movimiento para copiar la base de datos a la nube de la agencia, diciendo que “determinó que la necesidad comercial es más alta que el riesgo de seguridad” y que acepta “todos los riesgos” con el proyecto. La queja también dice Michael Russoun operativo duxt senior que anteriormente se desempeñó como director de información de la agencia antes de Moghaddassi pero permanece en la agencia, también aprobó mudarse de los datos del Seguro Social en vivo a la nube.
Borges dijo que primero planteó los problemas internamente en la agencia, pero luego golpeó el silbato para instar a los miembros del Congreso a que “participen en la supervisión inmediata para abordar estas serias preocupaciones”, según una declaración Por su abogado, Andrea Meza, en el Proyecto de Responsabilidad del Gobierno.
Esta es la última acusación de malas prácticas de ciberseguridad por parte de la administración y sus representantes, incluyendo duxdesde que el presidente Trump asumió el cargo a principios de enero. Desde enero, los miembros de Doge han tomado Control de barrido de la mayoría de los departamentos federales de EE. UU. y sus conjuntos de datos de datos de ciudadanos.
Cuando TechCrunch fue contactado, Elizabeth Huston, una portavoz de la Casa Blanca, no dijo si la administración estaba al tanto de la queja y aplazó los comentarios a la Administración del Seguro Social.
En una respuesta enviada por correo electrónico, el portavoz de la Administración del Seguro Social, Nick Perrine, dijo que la agencia “almacena datos personales en entornos seguros que tienen salvaguardas sólidas para proteger la información vital”.
“Los datos a la que se hace referencia en la queja se almacenan en un entorno de larga data utilizados por SSA y se paran de Internet. Los funcionarios de SSA de su carrera de alto nivel tienen acceso administrativo a este sistema con supervisión del equipo de seguridad de la información de SSA”, agregó el portavoz.
El portavoz dijo que la agencia “no estaba al tanto de ningún compromiso para este entorno”.
Las violaciones de datos que involucran datos del gobierno federal almacenados en la nube son raros pero no desconocidos. En 2023, TechCrunch informó que el Departamento de Defensa de los Estados Unidos expuso públicamente miles de correos electrónicos militares confidenciales en línea debido a un lapso de seguridad. Si bien los datos de correo electrónico se almacenaron en la nube separada de Amazon dedicada a los clientes del gobierno, una configuración errónea permitió el contenido de los correos electrónicos de una unidad militar para derramar públicamente en línea.
