骇客日前公布从屋崙市府系统中窃取来的员工个资。(电视新闻截图)
一个骇客组织上个月对奥克兰市府进行勒索软体攻击,他们近日公布了市府12年来的雇员个人资料,包括社会安全号码、驾照号码、出生日期和居住地址,现任市长盛桃(Sheng Thao)和前任市长薛丽比(Libby Schaaf)都是受害者。旧金山纪事报(San Francisco Chronicle)使用骇客周末在暗网(dark web)上公布的连结查看被洩漏的个资,发现这些超过90亿位元的数据和文件包括了数百份与警察不当行为有关的纪录、屋崙市府营运帐户裡的银行扫描月结单。一些文件看起来是公共纪录,但其他被公开的雇员社会安全号码等个人资料可能会造成负面影响。一名不愿透露姓名的奥克兰市府雇员说:“我非常担心身分被盗用。这是市府没有保护好为他们辛劳工作的员工的又一例子。”这起个资洩漏事件引发对奥克兰市府系统安全性的质疑。奥克兰市府现任和前任员工都表示,在勒索软体攻击事件发生前,市府的网路系统并没有双重身份验证措施。但网路安全专家表示,在不知道骇客是用什麽方法进入系统的情况下,无法确定双重身份验证是否能阻止攻击行动。奥克兰消防员工会会长安格(Zac Unger)说:“我们认为奥克兰市府在处理员工数据方面粗心大意。多年来,我们一直告诉他们,应该要对数据更加小心。”柏克莱加大公共利益网路安全计画(Public Interest Cybersecurity)主任波瓦泽克(Sarah Powazek)表示,个资洩漏可能让受害者的身份和纳税身份被盗用,不肖人士可能利用这些个资获取诈欺性退税、申请信用额度或进行金融盗窃。波瓦泽克指出,像奥克兰市府这类地方政府是勒索软体的主要目标,因为他们拥有重要的公共基础设施,但可能没有用来抵御骇客攻击的资源。波瓦泽克认为,骇客公布了个资,可能是因为奥克兰市府没有支付赎金。奥克兰市府对纪事报表示,他们正在与联邦调查局和加州紧急事务办公室(Office of Emergency Services)合作调查这起攻击事件,并雇用第三方数据公司深入了解被洩漏的数据。官员指出,一个名为“Play”的骇客团体已承认事件是他们所为。这起攻击事件始于2月8日,破坏了奥克兰处理停车罚单、营业执照和支付员工薪资的能力,市府已于2月中旬宣布进入网路攻击紧急状态。市长盛桃说:“我们非常重视这件事,正在努力恢复系统,并为受到影响的人提供帮助。未来,我们将加强我们资讯科技系统的安全性。”