程序员发现不受保护地访问州申领失业救济金门户的管理模式

一名申请阿肯色州大流行失业援助计划失业的计算机程序员在系统中发现了一个漏洞，暴露了大约3万名申请者的社保号码、银行账户和路由号码以及其他敏感信息。任何具有基本计算机知识的人都可能出于恶意目的访问个人信息。

周五早上，这位计算机程序员惊慌失措地打电话给阿肯色州劳动力服务部，接线员告诉他，没有人可以和他说话。然后，他尝试了阿肯色州警察刑事调查局的人，后者告诉程序员，他会找到需要交谈的人来解决问题。这位程序员后来打电话给“阿肯色州时报”(Arkansas Times)，征求关于打电话给谁的建议。泰晤士报于下午4：30向劳动力服务部通报了这个问题。不久之后，网站上出现了一条消息，上面写着：“该网站目前正在维护中。”

“我们非常重视申请者数据的安全和隐私，”劳动力服务部公关总监佐埃·卡尔金斯(ZoëCalkins)在一封电子邮件中说。“当我们得知这一事件后，我们立即让我们的系统离线，拒绝外界进入网络。我们已经聘请了独立的计算机取证专家进行调查，并确定这是如何发生的，以及哪些数据(如果有的话)处于危险之中。我们致力于完成全面的法医审查，并将对我们的调查结果采取一切适当的行动。“。

该州推出了大流行失业援助，这是一项新的联邦援助计划，针对收入受到冠状病毒影响的个体户或合同工，一直存在失误和拖延。该州于4月16日推出了PUA应用门户网站，比其他许多州晚了几周。该州现在是仅有的13个尚未向申请者发放福利的州之一。在一个系统错误导致他们的证明文件被删除后，大约5700名在该州所谓的“测试期”内报名的申请者被迫重新提交信息。

在浏览网站时，计算机程序员确定，只需删除网站的部分URL，他就可以进入网站的管理门户，在那里他可以选择编辑申请者的个人信息，包括银行账号。在管理门户上，他查看了页面的源代码，并看到该站点正在使用API(应用程序编程接口)与数据库连接。该API也没有加密，他可以访问所有申请者的原始数据，包括社会保险号和银行信息。在大约两分钟内，这名计算机程序员向“阿肯色时报”聘请的另一名程序员描述了这个漏洞，后者随后利用这些信息轻松进入了系统。要访问敏感信息，第二个程序员只需要创建一个帐户，而不是实际申请帮助。

另一名申请大流行失业援助的人士周五告诉泰晤士报，当他申请援助、提交文件并到达“审查”页面时，他看到了另一名申请者的文件。他说，州政府花了三天时间才删除了另一名申请者的信息。然后他说，又出现了另一名申请者的文件。“花了两天时间和反复的电话才把第二个名字去掉，”他说。“然后第二天，他们就把它全部删除了，并告诉我们必须重新申请。”

申请人要求匿名，因为担心他的申请不会获得批准。

这位计算机程序员说，他认为他可以编写一个脚本，在不到一个小时的时间内从API收集所有信息。他没有。

“这真的是个大问题，我的社保号码在里面，”他说。“这是不幸的。我正在努力寻求帮助，可能会遭到黑客攻击。“。

劳动力服务部的一名官员今天在一个立法委员会上表示，该州将于下周开始向PUA计划的成功申请者发放支票。