因「人為錯誤」、未經授權更新軟體:SAP 泄露了個人數據
近日德國軟體巨頭SAP公開道歉,起因是軟體更新將更高級別的許可權錯誤地分配給了紐西蘭槍支回購通知資料庫中的一些用戶,因而泄露了槍支擁有者的個人資料。
紐西蘭警方稱,該資料庫「將保持離線狀態,直至供應商可以向我們保證該平台很安全。」警方稱,這次更新未經授權。
該資料庫使槍支擁有者可以向警方報告擁有的槍支,並根據槍支回購計划進行賠償登記。
紐西蘭警方在周一下午的最新通報中稱:35人的完整資料在未經授權的情況下被訪問了。訪問的資料包括姓名、地址、電話號碼、槍支許可證編號和銀行賬戶詳細信息。警方稱,另一批人(數量不到500人)發現自己的姓名和地址被訪問了。
持牌槍支擁有者委員會(COLFO)聲稱19名未經授權的人員訪問了數據,警方對此表示了異議。警方稱,只有一名槍支經銷商未經授權訪問了數據,此人已聯繫了警方。
據副專員Mike Clement聲稱:「我們已要求COLFO負責人提供該信息,以便我們能夠查明事實。到目前為止還沒有提供任何信息,不過警方繼續與COLFO保持聯繫。」
COLFO的律師事務所Franks Ogilvie周一發表了一份聲明,證實COLFO正在調查警方表示通知系統已關閉後,該系統仍可以使用的說法。
3月15日克賴斯特徹奇的兩座清真寺發生槍擊事件導致51人喪命後,紐西蘭對槍支法律進行了全面改革,槍支回購計劃是其中的一部分。
4月份,在總理Jacinda Ardern的支持下,紐西蘭議會通過了法律,禁止大多數所謂的使用中心擊發彈藥的半自動槍支、某些類型的步槍和一些拉推槍栓式裝置槍支以及其他武器。那些擁有現被禁止的武器的人上交武器後有資格獲得政府補償。
回購計劃的一部分是這樣一個網站:槍支擁有者可以在該網站上向警方報告擁有的槍支。如果槍支擁有者認為自己有資格拿到補償,還可以提供銀行賬戶資料。除了SAP外,微軟也是警方這個項目的技術合作夥伴之一。
錯誤的安全配置文件
SAP在與警方聯合發布的聲明中稱,該錯誤涉及安全配置文件,配置文件允許一些用戶「創建公民記錄」。但由於人為錯誤,該配置文件分配給了66名槍支經銷商。
警方稱,那些錯誤導致一名槍支經銷商訪問了被禁止訪問的數據,此人後來聯繫了當局。警方稱:「我們正與訪問信息的這個人進行聯繫,確保沒有透露進一步的信息。」
持牌槍支擁有者委員會發布的泄露資料庫的經過編輯的屏幕截圖:
SAP稱,除了正在調查的顧問可以訪問外,它已鎖定系統上的所有用戶配置文件。
該公司稱:「我們為此錯誤向紐西蘭警方和紐西蘭公民深表歉意。我們絕對將客戶及其數據的安全放在首位。SAP已經在開展全面的內部調查。」
紐西蘭警方稱,回購計劃將繼續進行,但將使用手動程序。
紐西蘭的隱私事務專員稱,警方將與受此事件影響的人取得聯繫,「目前正與紐西蘭警方合作,以確保他們在採取措施以保護所保管的個人信息。」
這次泄露列出購物清單
大多數人贊成紐西蘭在最嚴重的大規模槍擊事件後迅速採取立法行動的做法,不過遭到了一些溫和的反對。COLFO發現了這個資料庫失誤,它認為新法律是倉促制定的。
COLFO的女發言人Nicole McKee說:「這起事件令人震驚。被禁止使用的槍支的完整資料以及可以找到這些槍支的地址居然在網上向公眾公開。」
McKee稱,該事件表明了為什麼警方槍支登記處靠不住。她告訴英國《衛報》,這次泄露相當於「為犯罪分子列出了購物清單」。
COLFO聲稱,這個資料庫失誤表明37125名槍支擁有者登記了280000件現在被禁止的武器。截至11月24日,紐西蘭警方稱他們已收繳了40000多把槍支和近15萬個槍支部件,支付了逾7500萬美元。回購於12月20日結束。
