4家美国代理机构未正确验证您的数据

Equifax的数据泄露给出了安全问题的答案，退伍军人事务和社会安全管理局等机构要求进行验证。美国政府问责局发现，由于像Equifax黑客这样的大规模破坏，多个政府机构依赖于一种可以轻易绕过的安全措施。在周五发布的一份报告中，政府监管组织发现，美国邮政局，退伍军人事务部，社会保障管理局以及医疗保险和医疗补助服务中心仍在使用“基于知识的验证”来确保在线申请福利是真实的。

这种验证方法向申请人询问其出生日期，社会安全号码和地址等问题，假设有申请人才能获得该信息。但是，在2017年Equifax的违规行为中，这些信息是从1.455亿美国人手中偷走的，占美国人口的一半以上。

GAO发现，这使得许多联邦机构使用基于知识的验证来进行广泛的欺诈，因为潜在的攻击者可以利用被盗信息申请福利并获得更换的社会保障卡。

2017年，国家标准与技术研究所开始就该验证方法提出建议。

立法者要求政府监管机构审查在Equifax违规后有多少联邦机构仍在使用过时的验证方法。虽然美国国税局和总务管理局放弃了基于知识的验证作为一项安全措施，但GAO发现四个联邦机构仍然依赖它。

在给所有四个机构的信中，参议员伊丽莎白沃伦(D-Mass。)，参议员罗恩怀恩(D-Ore。)和众议员伊莱贾卡明斯(D-Md。)询问他们采取了哪些措施来保护消费者隐私Equifax的破坏，以及为什么他们仍在使用过时的验证系统。

立法者在一份声明中说：“令人不安的是，在大规模2017年Equifax数据泄露事件发生后近两年，联邦政府机构继续使用过时的身份证明方法，使公民面临更大的身份盗窃风险。”“我们需要采取更多措施来防止这类违规行为，政府需要更好，更明智地保护公民。”

退伍军人事务发言人表示，该机构“赞赏立法者的意见，并将直接回应他们。”报告中确定的其他三个机构没有回复评论请求。

GAO的报告发现，基于知识的验证有几种替代方法，例如面对身份验证或使用移动设备进行登记.USPS和SSA告诉GAO他们正在研究替代方案但不希望通过以下方式实施今年年底。SSA希望到2020年实施更安全的方法。

据报道，CMS表示它没有计划取消验证方法，告诉GAO其用户更喜欢不安全的措施，尽管可能存在欺诈行为。

报告称，VA实施了替代方案，但仅作为过时安保措施的补充。

这三个组织的官员表示，虽然NIST停止推荐基于知识的验证，但它没有提供任何可行的替代方案。GAO建议NIST改进其对联邦机构的建议，政府组织改进其核查方法，并要求管理和预算办公室要求各机构报告其进展情况。

“然而，在这些机构采取措施消除他们使用基于知识的验证之前，他们所服务的个人将继续增加身份欺诈的风险，”GAO在其报告中说。