Une meilleure administration des responsables de la sécurité sociale a été devenue Whistleblower indique que les membres du Département de l’efficacité du gouvernement (DOGE) de l’administration Trump (DOGE) ont téléchargé des millions de dossiers de sécurité sociale sur un serveur cloud vulnérable, mettant les informations personnelles de la plupart des Américains en danger de compromis.
Charles Borges, le directeur des données de la Social Security Administration, a déclaré dans une plainte de dénonciation nouvellement publiée publiée mardi que d’autres hauts responsables de l’agence avaient signé une décision en juin de télécharger « une copie en direct des informations sur la sécurité sociale du pays dans une surveillance du cloud », malgré Borges soulevant des préoccupations.
La base de données, connue sous le nom de système d’identification numérique, contient plus de 450 millions de dossiers contenant toutes les données soumises dans le cadre d’une demande de sécurité sociale, y compris le nom du demandeur, le lieu de naissance, la citoyenneté et les numéros de sécurité sociale des membres de leur famille, en tant qu’information Wel.
Borges a déclaré que les membres de Doge, l’équipe d’employés de forme Elon Musk approuvés au gouvernement sous le couvert de la réduction de la fraude et des déchets, ont copié la base de données sensible à un serveur cloud hébergé par Amazon géré par les agences « qui manquait apparemment de contrôles de sécurité indépendants », tels que qui accédait aux données et à l’utilisation de l’informatique.
L’absence de protections de sécurité a violé les contrôles de sécurité des agences internes et les lois fédérales sur la vie privée, selon la plainte.
Borges a déclaré qu’en permettant à Doge d’être des administrateurs du cloud de l’agence, les Doge Operatifs seraient en mesure de créer des «services accessibles au public», ce qui signifie qu’ils pourraient permettre à l’accès public au système cloud et à l’une des données sensibles stockées à l’intérieur.
Borges a averti dans la plainte que si ces informations que nous avons compromis, «Il est possible que les informations sensibles (personnellement identifiables) incluent des diagnostics de santé, des niveaux de revenu et des informations bancaires, des relations familiales et des données biographiques personnelles pourraient être des expositions publiquement et largement partagées.
La plainte a indiqué que tout compromis ou accès non autorisé à la base de données aurait «un impact catastrophique» sur le programme américain de sécurité sociale, décrivant un pire des cas comme un potentiel qui devait rééditer les numéros de sécurité sociale de chacun.
Alors qu’une ordonnance d’interdiction fédérale a initialement empêché les membres du personnel de Doge d’accéder à la base de données des dossiers de sécurité sociale du pays, la Cour suprême a levé l’ordonnance le 6 juin, ouvrant la voie à l’accès de Doge.
Dans les jours qui ont suivi, Doge aurait travaillé pour demander des approbations internes auprès des cuivres de l’agence, selon la plainte de Borges.
Le directeur de l’information de l’agence, Aram Moghadda, a approuvé la décision de copier la base de données dans le cloud de l’agence, affirmant qu’il « a déterminé que le besoin commercial était plus élevé que le risque de sécurité » et qu’il accepte « tous les risques » avec le projet. La plainte a également déclaré que Michael Russo, un agent principal des Doge qui était auparavant le directeur de l’information de l’agence avant Moghadda mais des remakes à l’agence, a également approuvé le déplacement des données de sécurité sociale en direct vers le cloud.
Borges a déclaré qu’il avait d’abord soulevé des problèmes en interne à l’agence, mais a ensuite sifflé les membres du Congrès pour «s’engager dans une surveillance immentée pour répondre à ces préoccupations», selon Stattemenment par son ATTORT, Andrea Meza, lors du projet de responsabilité du gouvernement.
Il s’agit de la dernière accusation de mauvaises pratiques de cybersécurité par l’administration et ses représentants, notamment Doge, depuis que le président Trump a pris ses fonctions plus tôt en janvier. Vente en janvier, les membres de Doge ont pris un contrôle radical de la plupart des départements fédéraux américains et de leurs ensembles de données sur les données des citoyens.
Lorsqu’il a réagi par TechCrunch, Elizabeth Huston, porte-parole de la Maison Blanche, ne dirait pas si l’administration était au courant de la plainte et a différé comment à la Social Security Administration.
Dans une réponse par courrier électronique, le porte-parole de la Social Security Administration, Nick Perrine, a déclaré que l’agence « stocke des données personnelles dans des envies sécurisées qui ont mis en place des garanties robustes pour protéger les informations vitales ».
« Les données référencées dans la plainte sont stockées dans un environnement de longue date utilisé par la SSA et clos sur Internet. Les responsables de la SSA de carrière de haut niveau ont un accès administratif à ce système avec la surveillance de l’équipe de sécurité de l’information de la SSA », a ajouté le porte-parole.
Le porte-parole a déclaré que l’agence n’était «pas au courant d’un compromis dans cet environnement».
Les violations de données impliquant les données du gouvernement fédéral stockées dans le cloud sont rares mais pas inconnues. En 2023, TechCrunch a rapporté que le ministère américain de la Défense exposait publiquement des milliers d’e-mails militaires sensibles en ligne en raison d’un délai de sécurité. Bien que les données par e-mail aient été stockées dans le cloud séparé d’Amazon dédié aux clients du gouvernement, une erreur de configuration a permis le contenu des e-mails d’une unité militaire pour se répandre publiquement en ligne.
