Κλοπή ταυτότητας κατά τη γέννηση: 752.000 αιτήσεις για τα αντίγραφα των πιστοποιητικών γέννησης εκτέθηκαν online

Είτε μας αρέσει είτε όχι, οι ηλεκτρονικές εταιρείες όλων των μορφών και μεγεθών χειρίζονται τεράστια ποσά προσωπικών δεδομένων. Κάπως προβλέψιμα, δεν το κάνουν πάντα πολύ καλά. Νωρίτερα αυτό το μήνα, για παράδειγμα, ειδικοί δοκιμών διείσδυσης από το Fidus Information Security ανακάλυψαν έναν κάδο αποθήκευσης υπηρεσιών Amazon Web Services (AWS) που περιείχε μια σειρά από έγγραφα που δεν υποτίθεται ότι ήταν δημόσια. Ο εν λόγω κάδος ήταν προσβάσιμος από οπουδήποτε στον κόσμο και δεν προστατεύεται από κωδικό πρόσβασης. Οι εμπειρογνώμονες μοιράστηκαν τα συμπεράσματά τους με τον Zack Whittaker της TechCrunch, ο οποίος επιβεβαίωσε την εγκυρότητα των πληροφοριών και ανακάλυψε ότι ορισμένα από τα έγγραφα χρονολογούνται από το 2017. Περισσότερο ανησυχητικό, ανακάλυψε ότι κάποιος έδινε νέα στοιχεία στον κάδο σε καθημερινή βάση. Ακολουθεί αυτό που εκθέτουν ακριβώς.

Οι αιτήσεις για αντίγραφα των πιστοποιητικών γέννησης και θανάτου παρέμειναν σε μη ασφαλή κάδο AWS

Οι Αμερικανοί πολίτες που χρειάζονται αντίγραφο των πιστοποιητικών γέννησής τους μπορούν να τους ζητήσουν αυτοπροσώπως σε κυβερνητικό ίδρυμα στην πολιτεία τους ή να χρησιμοποιήσουν τις υπηρεσίες μιας ηλεκτρονικής επιχείρησης που επεξεργάζεται τις αιτήσεις των ανθρώπων και ενεργεί ως ενδιάμεσος. Μία από αυτές τις επιχειρήσεις ήταν επιφορτισμένη με το χειρισμό τουλάχιστον 752 χιλιάδων αιτήσεων. Έβαλε όλα αυτά στον προαναφερθέντα ακάλυπτο κάδο AWS. Ο κάδος είχε επίσης πάνω από 90 χιλιάδες αιτήσεις για πιστοποιητικά θανάτου, αν και η λήψη αυτών ήταν αδύνατη, σύμφωνα με την έκθεση Whittaker.

Παρόλο που τα πραγματικά πιστοποιητικά γέννησης δεν εκτέθηκαν, οι αιτήσεις για αυτούς ήταν ακόμα πλήρεις με προσωπικά στοιχεία. Οι λεπτομέρειες διαφέρουν από κράτος σε κράτος, αλλά όπως θα περίμενε κανείς, η έκθεση δεν ήταν ασήμαντη. Ορισμένα από τα στοιχεία που εξέτασε η Whittaker περιλαμβάνουν:

• Ονόματα
• Χρονολογίες γέννησης
• Φυσικές διευθύνσεις
• Διευθύνσεις ηλεκτρονικού ταχυδρομείου
• Ονόματα μελών της οικογένειας
• Προηγούμενες διευθύνσεις στο σπίτι

Με μια λέξη, ο κουβάς είναι το όνειρο ενός κλέφτη ταυτότητας. Το πιστεύετε ή όχι, ωστόσο, αυτό δεν είναι το μεγαλύτερο πρόβλημα.

Η Amazon αρνείται να πάρει τον κάδο κάτω και ο ιδιοκτήτης παραμένει αδιάφορος

Μπορούμε να μιλήσουμε σε μεγάλο βαθμό για το πώς είναι αυτό το επόμενο σε μια πολύ μακρά σειρά από κακοδιαμορφωμένους κάδους AWS που διαρρέουν προσωπικά στοιχεία χιλιάδων ανυποψίαστων ατόμων, αλλά όσοι από εσάς που παρακολουθείτε τα νέα γνωρίζουν όλο για το πρόβλημα. Στη συγκεκριμένη περίπτωση, το μεγαλύτερο ζήτημα έγκειται στην αντίδραση των ατόμων που είναι υπεύθυνα για την εξασφάλιση των δεδομένων. Πιο συγκεκριμένα, το θέμα έγκειται στην έλλειψη μιας τέτοιας αντίδρασης.

Οι ερευνητές του Whittaker και του Fidus δεν είχαν κανένα πρόβλημα να προσδιορίσουν ποιος ήταν υπεύθυνος για τη διαρροή. Όταν προσπάθησαν να επικοινωνήσουν με την παραβατική εταιρεία, ωστόσο, όλοι πήραν μια συλλογή αυτοματοποιημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Στη συνέχεια έρχονται σε επαφή με την Amazon, αλλά αντί να δράσουν γρήγορα για να σταματήσουν τη διαρροή, ένας από τους μεγαλύτερους παρόχους αποθήκευσης cloud στον κόσμο είπε απλώς ότι και αυτή θα ενημερώσει τον ιδιοκτήτη του κάδου. Ως αποτέλεσμα, τα δεδομένα παραμένουν προσβάσιμα σε όσους μπορούν να φτάσουν στην ηλεκτρονική διεύθυνση, η οποία, σύμφωνα με τον Whittaker, δεν είναι πολύ δύσκολο να μαντέψει.

Επειδή ο κάδος παρέμεινε ανοιχτός, ο Whittaker αποφάσισε να προστατεύσει τις εκατοντάδες χιλιάδες ανθρώπους που είχαν πληγεί από τη διαρροή και δεν ανέφερε τον ιδιοκτήτη στην έκθεσή του. Αν και ο δράστης παραμένει άγνωστος στο κοινό, ωστόσο, ολόκληρη η ιστορία πρέπει να είναι ένα μάθημα για όλους. Θα πρέπει να είναι ένα μάθημα όχι μόνο για το πόσο σημαντική είναι η ασφάλεια των δοχείων αποθήκευσης AWS αλλά και για το πώς να μην αντιδράσουμε στις αναφορές για σημαντική διαρροή δεδομένων.