Identitätsdiebstahl bei der Geburt: 752.000 Anträge auf Kopien von Geburtsurkunden wurden online gestellt

Ob es uns gefällt oder nicht, Online-Unternehmen aller Größen und Formen verarbeiten enorme Mengen an personenbezogenen Daten. Etwas vorhersehbar, machen sie es nicht immer sehr gut. Anfang dieses Monats entdeckten beispielsweise Penetrationstestspezialisten von Fidus Information Security einen AWS-Speicher-Bucket (Amazon Web Services), der eine Sammlung von Dokumenten enthielt, die nicht öffentlich sein sollten. Der betreffende Eimer war von überall auf der Welt zugänglich und nicht durch ein Passwort geschützt. Die Experten teilten ihre Erkenntnisse mit TechCrunch Zack Whittaker, der bestätigt die Gültigkeit der Informationen und entdeckt, dass einige der Dokumente datiert zurück bis 2017. Noch besorgniserregender ist, fand er heraus, dass jemand auf einer täglichen Basis neuer Daten in den Eimer anzog. Hier ist, was genau belichtet wurde.

Anträge auf Kopien von Geburts- und Sterbeurkunden wurden in einem ungesicherten AWS-Eimer abgelegt

US-Bürger, die eine Kopie ihrer Geburtsurkunde benötigen, können diese persönlich bei einer staatlichen Einrichtung in ihrem Bundesstaat anfordern oder die Dienste eines Online-Unternehmens in Anspruch nehmen, das die Anträge der Bürger bearbeitet und als Vermittler fungiert. Ein solches Unternehmen wurde mit der Bearbeitung von mindestens 752.000 Anträgen beauftragt. Sie steckten alle in den oben genannten ungesicherten AWS-Eimer. In dem Eimer befanden sich auch etwas mehr als 90.000 Anträge auf Sterbeurkunden, die laut Whittakers Bericht jedoch nicht heruntergeladen werden konnten.

Obwohl die eigentlichen Geburtsurkunden nicht ausgestellt wurden, enthielten die Anträge für sie immer noch viele persönliche Informationen. Die Details waren von Bundesstaat zu Bundesstaat unterschiedlich, aber wie zu erwarten war, war die Exposition nicht unerheblich. Einige der von Whittaker überprüften Daten umfassten:

• Namen
• Geburtsdaten
• Physische Adressen
• E-mailadressen
• Namen von Familienmitgliedern
• Vergangene Privatadressen

Mit einem Wort, der Eimer ist der Traum eines Identitätsdiebs. Ob Sie es glauben oder nicht, dies ist jedoch nicht das größte Problem.

Amazon weigert sich, den Eimer zu öffnen, und der Eigentümer reagiert nicht mehr

Wir können ausführlich darüber sprechen, wie es in einer langen Reihe von falsch konfigurierten AWS-Buckets weitergeht, in denen persönliche Daten von Tausenden von ahnungslosen Personen preisgegeben werden. Diejenigen von Ihnen, die die Nachrichten verfolgt haben, wissen jedoch alles über das Problem. In diesem speziellen Fall liegt das größte Problem in der Reaktion der Personen, die für die Sicherung der Daten verantwortlich sind. Genauer gesagt liegt das Problem im Fehlen einer solchen Reaktion.

Die Forscher von Whittaker und Fidus hatten keine Probleme herauszufinden, wer für das Leck verantwortlich war. Als sie jedoch versuchten, mit dem Unternehmen in Kontakt zu treten, erhielten sie lediglich eine Sammlung automatisierter E-Mails. Sie haben sich dann mit Amazon in Verbindung gesetzt, aber anstatt schnell zu handeln, um das Leck zu stoppen, hat einer der weltweit größten Cloud-Speicheranbieter einfach gesagt, dass dies auch den Eigentümer des Eimers informieren wird. Infolgedessen blieben die Daten für jeden zugänglich, der an die Webadresse gelangen kann, was laut Whittaker nicht sehr schwer zu erraten ist.

Da der Eimer offen blieb, beschloss Whittaker, die Hunderttausenden von Menschen, die von dem Leck betroffen waren, zu schützen, und nannte den Eigentümer in seinem Bericht nicht. Obwohl der Täter der Öffentlichkeit unbekannt bleibt, sollte die gesamte Geschichte eine Lehre für alle sein. Sie sollten nicht nur lernen, wie wichtig die Sicherheit von AWS-Speicher-Buckets ist, sondern auch, wie Sie nicht auf Meldungen über ein erhebliches Datenleck reagieren können.