Identitetstyveri ved fødslen: 752.000 ansøgninger om kopier af fødselsattester blev udsat online

Birth Certificate Applications Exposed

Uanset om vi kan lide det eller ej, håndterer online virksomheder i alle former og størrelser enorme mængder af personlige data. Noget forudsigeligt gør de det ikke altid godt. Tidligere denne måned opdagede for eksempel specialister inden for penetrationstest fra Fidus Information Security en Amazon Web Services (AWS) opbevaringsbakke, der indeholdt en stash af dokumenter, der ikke skulle være offentlig. Den pågældende spand var tilgængelig overalt i verden og var ikke beskyttet af en adgangskode. Eksperterne delte deres konklusioner med TechCrunchs Zack Whittaker, som bekræftede gyldigheden af oplysningerne og opdagede, at nogle af dokumenterne dateres tilbage til 2017. Mere foruroligende fandt han ud af, at nogen lægte nye data i spanden dagligt. Her er hvad de udsatte nøjagtigt.

Ansøgninger om kopier af fødsels- og dødsattester blev efterladt i en usikret AWS-spand

Amerikanske statsborgere, der har brug for en kopi af deres fødselsattester, kan anmode om dem personligt ved en statsinstitution i deres stat, eller de kan bruge tjenesterne fra et online firma, der behandler folks applikationer og fungerer som formidler. Et sådant firma fik til opgave at håndtere mindst 752 tusind applikationer. Det satte dem alle i den førnævnte usikrede AWS-spand. Skovlen indeholdt også lidt over 90.000 ansøgninger om dødsattester, skønt Whittakers rapport var at downloade dem, var det umuligt.

Selvom de faktiske fødselsattester ikke blev udsat, var ansøgningerne om dem stadig fulde af personlige oplysninger. Detaljerne varierede fra stat til stat, men som du kunne forvente var eksponeringen ikke ubetydelig. Nogle af de data, Whittaker har gennemgået, inkluderede:

  • navne
  • Fødselsdato
  • Fysiske adresser
  • Email adresse
  • Navne på familiemedlemmer
  • Tidligere hjemmeadresser

Kort sagt er spanden en identitetstyves drøm. Tro det eller ej, men dette er ikke det største problem.

Amazon nægter at tage spanden ned, og ejeren forbliver ikke svarende

Vi kan tale i nogen betydelig længde om, hvordan dette er det næste i en meget lang række miskonfigurerede AWS-spande, der lækker personlige detaljer fra tusinder af intetanende personer, men de af jer, der har fulgt nyhederne, ved alt om problemet. I dette særlige tilfælde ligger det største problem ved reaktionen fra de mennesker, der er ansvarlige for at sikre dataene. Mere præcist ligger spørgsmålet om manglen på en sådan reaktion.

Whittaker og Fidus 'forskere havde ingen problemer med at finde ud af, hvem der var ansvarlig for lækagen. Da de forsøgte at kontakte det krænkende firma, var det eneste, de fik, en samling af automatiske e-mails. De kom derefter i kontakt med Amazon, men i stedet for hurtigt at handle for at stoppe lækagen, sagde en af verdens største cloud-lagerudbydere simpelthen, at også den vil informere ejeren om spanden. Som et resultat forblev dataene tilgængelige for alle, der kan komme til webadressen, hvilket ifølge Whittaker ikke er meget vanskeligt at gætte.

Fordi spanden forblev åben, besluttede Whittaker at beskytte de hundreder af tusinder af mennesker, der var berørt af lækagen, og han navngav ikke ejeren i sin rapport. Selv om lovovertræderen forbliver ukendt for offentligheden, bør hele historien imidlertid være en lektion for alle. Det burde være en lektion ikke kun om, hvor vigtig sikkerheden ved AWS-opbevaringsspande er, men også om, hvordan man ikke reagerer på rapporter om en betydelig datalækage.

December 17, 2019
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.