美国教育部旗下的联邦学生援助免费申请(简称FAFSA)网站正默默地泄露敏感个人信息,数百万条信息极易受到黑客及身份盗贼的入侵。
敏感数据库可以被轻易访问
欲寻求财务援助的学生需要在该网站填写个人、财务信息登记表。安全专家Brian Krebs(布莱恩·克雷布斯)表示,任何持有申请人社保号码(简称SSN)与出生日期的人士都能访问该敏感数据库。
该FAFSA登录页面的人士能够选择输入学生的FSA ID与密码,或直接填写“学生信息”。用户可选择第二种选项以输入学生的名与姓、出生日期以及社保号码。Krebs表示,“任何成功通过FAFSA完成财务援助申请的学生的个人资料,都可以通过提供这些信息进行查看。”
最彻底的一次数据泄露
这部分信息包含细节个人信息以及家庭财务状况(包含近200种不同数据元素):学生与家长的个人信息,例如长期居住地址、驾驶证号码、电话号码、公民身份与外国人登记号码、婚姻状况、学生是否因涉毒存在犯罪记录、所得税、调整后总收入、净资产、子女抚养费、退伍军人身份、学生是否属于脱离家长独立生活的未成年人等等。
这可能是迄今为止泄露的数据信息最全面的一次,其中唯一缺少的常见问题可能只剩下‘你养的第一只宠物叫什么名字?‘这类内容
。掌握这类数据身份信息的窃贼很可能以冒名顶替的方式向联邦政府申请经济援助,可能给学生(或学生家长)带来大麻烦。”
根据教育部提供的数据,仅2015/2016年申请有效时间内就有接近2000万人填写了FAFSA表格。
而在互联网或者暗网上,只需要价值4美元到5美元的比特币即可获得数百万美国民众的社保号码与出生日期信息。
今年3月,美国国税局(简称IRS)官网发布消息,禁用了一项名为数据检索工具的自动化工具,其原本用于帮助学生及其家属申请联邦财政援助。恶意人士一直在利用这款工具从FAFSA当中检索数据,从而了解申请人家庭的调整后总收入以及其它细节信息,进而面向国税机构实施退税欺诈。
Krebs表示,网站在管理此类敏感消费者数据时通常都是提供静态数据点,这也是众多敏感数据易泄露的原因之一。