كشف مسؤول رفيع في إدارة الضمان الاجتماعي عن أن أعضاء من وزارة كفاءة الحكومة في إدارة ترامب (DOGE) قاموا بتحميل مئات الملايين من سجلات الضمان الاجتماعي إلى خادم سحابي ضعيف، مما يعرض المعلومات الشخصية لمعظم الأمريكيين لخطر التسريب.
قال تشارلز بورخيس، رئيس قسم البيانات في إدارة الضمان الاجتماعي، في شكوى جديدة تم نشرها يوم الثلاثاء إن مسؤولين آخرين كبار في الوكالة وافقوا في يونيو على قرار تحميل “نسخة حية من معلومات الضمان الاجتماعي للبلاد في بيئة سحابية تتجاوز الرقابة”، بالرغم من قلق بورخيس من ذلك.
تحتوي قاعدة البيانات، المعروفة باسم نظام التعرف الرقمي، على أكثر من 450 مليون سجل تحتوي على جميع البيانات المقدمة كجزء من طلب الضمان الاجتماعي، بما في ذلك اسم المتقدم، مكان الولادة، الجنسية، وأرقام الضمان الاجتماعي لأفراد أسرته، بالإضافة إلى معلومات شخصية ومالية حساسة أخرى.
قال بورخيس إن أعضاء DOGE، الفريق المؤلف من موظفين سابقين في إيلون ماسك الذين تم تعيينهم في الحكومة تحت ستار تقليل الاحتيال والهدر، قاموا بنسخ قاعدة البيانات الحساسة إلى خادم سحابي تديره الوكالة مستضاف على أمازون “يفتقر على ما يبدو إلى ضوابط أمان مستقلة”، مثل من كان يصل إلى البيانات وكيف كانوا يستخدمونها.
تزعمت الشكوى أن نقص تدابير الأمان قد انتهك ضوابط الأمان الداخلية للوكالة وقوانين الخصوصية الفيدرالية.
قال بورخيس إنه من خلال السماح لـ DOGE بأن يكونوا مدراء للسحابة التابعة للوكالة، سيكون عملاء DOGE قادرين على إنشاء “خدمات متاحة للجمهور”، مما يعني أنهم يمكن أن يسمحوا بالوصول العام إلى نظام السحابة وأي من البيانات الحساسة المخزنة بداخله.
حذر بورخيس في الشكوى من أنه إذا تم تسريب هذه المعلومات، “من الممكن أن يتم الكشف عن المعلومات الحساسة [التي يمكن التعرف على الأفراد من خلالها] لكل أمريكي بما في ذلك تشخيصات صحية، مستويات الدخل ومعلومات مصرفية، والعلاقات الأسرية، والبيانات البيوغرافية الشخصية.”
ذكرت الشكوى أن أي تسريب أو وصول غير مصرح له بقاعدة البيانات سيكون له “أثر كارثي” على برنامج الضمان الاجتماعي الأمريكي، مع وصف أسوأ السيناريوهات بأنه قد يتطلب إعادة إصدار أرقام الضمان الاجتماعي للجميع.
بينما منعت أمر تقييد اتحادي تم إصداره في مارس موظفي DOGE من الوصول إلى قاعدة بيانات سجلات الضمان الاجتماعي للبلاد، قامت المحكمة العليا برفع الأمر في السادس من يونيو، مما أتاح وصول DOGE.
في الأيام التالية، زعم أن DOGE عملت على طلب موافقات داخلية من كبار مسؤولي الوكالة، وفقاً لشكوى بورخيس.
وافق كبير مسؤولي المعلومات في الوكالة، أرام مقهدي، على خطوة نسخ قاعدة البيانات إلى سحابة الوكالة، قائلاً إنه “حدد أن الحاجة التجارية أكبر من خطر الأمان”، وأنه يقبل “جميع المخاطر” المتعلقة بالمشروع. كما تشير الشكوى إلى أن ميشيل روسو، أحد عملاء DOGE البارزين الذي شغل سابقًا منصب رئيس قسم المعلومات في الوكالة قبل مقهدي ولكنه لا يزال في الوكالة، قد وافق أيضًا على نقل بيانات الضمان الاجتماعي الحية إلى السحابة.
قال بورخيس إنه طرح المشكلات داخليًا في الوكالة أولاً، لكنه بعد ذلك قرر التبليغ لتحفيز أعضاء الكونغرس على “الانخراط في رقابة فورية لمعالجة هذه المخاوف الجادة”، وفقًا لبيان محاميه، أندريا ميزا، في مشروع المساءلة الحكومية.
هذه هي أحدث اتهامات بسوء ممارسات الأمن السيبراني من قبل الإدارة وممثليها، بما في ذلك DOGE، منذ تولي الرئيس ترامب منصبه في وقت سابق من يناير. منذ يناير، تولى أعضاء DOGE السيطرة الشاملة على معظم الوكالات الفيدرالية الأمريكية ومجموعات بيانات المواطنين.
عند التواصل مع TechCrunch، لم تكن إليزابيث هيوستن، المتحدثة باسم البيت الأبيض، على استعداد للإفصاح عما إذا كانت الإدارة على علم بالشكوى، وأحالت التعليق إلى إدارة الضمان الاجتماعي.
في رد عبر البريد الإلكتروني، قال المتحدث باسم إدارة الضمان الاجتماعي، نيك بيرين، إن الوكالة “تخزن البيانات الشخصية في بيئات آمنة تحتوي على تدابير حماية قوية لحماية المعلومات الحيوية.”
“البيانات المشار إليها في الشكوى مخزنة في بيئة قائمة منذ فترة طويلة تستخدمها إدارة الضمان الاجتماعي ومحجوزة من الإنترنت. يمتلك كبار مسؤولي إدارة الضمان الاجتماعي وصولاً إداريًا إلى هذا النظام تحت إشراف فريق أمان المعلومات في إدارة الضمان الاجتماعي”، أضاف المتحدث.
قال المتحدث إن الوكالة “ليس لديها علم بأي تسريب يتعلق بهذه البيئة.”
تعتبر حوادث خرق البيانات التي تشمل البيانات الحكومية الفيدرالية المخزنة في السحابة نادرة ولكنها ليست غير مألوفة. في عام 2023، أفادت TechCrunch بأن وزارة الدفاع الأمريكية كشفت عن آلاف من رسائل البريد الإلكتروني العسكرية الحساسة عبر الإنترنت بسبب ثغرة أمنية. على الرغم من أن بيانات البريد الإلكتروني كانت مخزنة في سحابة أمازون المنفصلة المخصصة لعملاء الحكومة، سمحت خطأ في الإعداد بمحتويات رسائل البريد الإلكتروني لوحدة عسكرية بالتسريب علنًا عبر الإنترنت.