Her er hvad der sker, når en sprintentreprenør udsætter AT & T-, T-Mobile- og Verizon-regninger

På sin hjemmeside (som på en ikke-relateret note er indlæst via HTTP og ikke HTTPS) siger Deardorff Communications, et marketing- og kommunikationsfirma med base i Georgien, at sit team er meget erfaren inden for en række forskellige områder, herunder strategisk planlægning, salg, reklame osv. Desværre mangler deres ekspertise lidt, når det kommer til at konfigurere Amazon Web Service opbevaringsspande.

En Deardorff-medarbejder lagde lidt over en fjerdedel af en million dokumenter i en Amazon S3-spand, kunne ikke indstille et kodeord og glemte at ændre tilgængelighedsindstillingerne fra "offentlig" til "privat". Som et resultat kunne spanden sammen med alle filerne i den ses fra hvor som helst i verden. Ikke overraskende, forskere fra et penetrationstestfirma kaldet Fidus Information Security, på samme tidspunkt, de samme mennesker, der afslørede en sikkerhedsfejl i Vatikanets nye eRosary samt en datalækage af Magic: The Gatherings udgiver, endte med at se på Deardorff's spand.

Telefonregninger og masser af følsomme oplysninger udeladte i det fri

Der var lidt over 260.000 dokumenter i spanden, og størstedelen af dem var mobiltelefonregninger, der tilhørte AT&T, T-Mobile og Verizon-abonnenter. Deardorff indsamlede alle disse filer, fordi Sprint, en af deres største kunder, ønskede at overtale abonnenter til at ændre deres mobiltelefonudbyder. Ifølge et af dokumenterne var Sprint endda villig til at betale de tidlige termineringsgebyrer, bare for at sikre, at flere mennesker bruger dens tjenester.

Telefonregningerne afslører i sig selv en masse personlige oplysninger og kontaktoplysninger, og de indeholder ofte opkaldslogger, som nogle mennesker sandsynligvis foretrækker ikke at dele med resten af verden. Ud over alt dette fandt forskerne også en kontoudtog og et skærmbillede, der afslørede de online brugernavne, adgangskoder og pinkoder til et ukendt antal abonnenter.

Først var det ikke klart, hvem der havde udsat dataene. Kort efter at have fundet spanden, underrettede eksperterne Amazon, som kom i kontakt med dataens ejer og fik den taget offline. Af juridiske grunde nægtede Amazon imidlertid at fortælle Fidus, der var ansvarlig for lækagen.

Oplysningerne blev imidlertid delt med Zack Whittaker fra TechCrunch, der kørte nogle af filerne gennem en metadatatjekker og fik at vide, at de sandsynligvis var ejet af Deardorff. Jeff Deardorff, marketingvirksomhedens præsident, indrømmede, at en af hans ansatte var ansvarlig for lækagen og lovede, at han ville gøre, hvad han kunne for at finde ud af, hvad der gik galt, og hvad der kan gøres for at forhindre lignende hændelser i fremtiden.

Datalækager som dette er alt for almindelige

Nogle af jer kan sige, at dette er langt fra den mest forfærdelige datasikkerhedshændelse, og at mange andre dokumenter kan være langt mere farlige. Et hurtigt kig på din seneste almindelige telefonregning afslører imidlertid, at det, der ligner et uskyldigt stykke papir, faktisk indeholder oplysninger, der let kan føre til identitetstyveri. I dette særlige tilfælde afslørede Deardorff også abonnenternes adgangskoder og PIN-numre, hvilket øger risikoen for angreb som SIM- udskiftning og udskrivning af legitimationsoplysninger.

Det virkelige problem er, at lignende lækager sker dagligt. Oftere end ikke er de forårsaget af let undgåelige og forholdsvis enkle konfigurationsfejl, men mangel på uddannelse betyder, at it-folk ikke ved, hvad de skal gøre, når de har til opgave at gemme brugernes data sikkert.

Deardorff sagde ikke, hvornår spanden først blev åbnet for offentligheden, og ingen kan bekræfte, om cyberkriminelle har formået at komme til det, før det blev taget offline. Zack Whittaker bad AT&T, Verizon og T-Mobile om yderligere kommentarer, men han modtog intet væsentligt, sandsynligvis fordi de tre telekommunikationsudbydere simpelthen ikke har noget at tilføje. Resultatet er, vi ved ikke, hvor mange mennesker der potentielt blev påvirket af lækagen, hvilket betyder, at hvis du er en AT&T-, Verizon- eller T-Mobile-abonnent, eller hvis du har skiftet fra dem til Sprint, kan du måske ønsker at Vær opmærksom på tegn på svindel eller identitetstyveri.