Robo de identidad al nacer: 752,000 solicitudes de copias de certificados de nacimiento fueron expuestas en línea

Nos guste o no, las compañías en línea de todas las formas y tamaños manejan enormes cantidades de datos personales. De manera algo previsible, no siempre lo hacen muy bien. A principios de este mes, por ejemplo, los especialistas en pruebas de penetración de Fidus Information Security descubrieron un depósito de almacenamiento de Amazon Web Services (AWS) que contenía un alijo de documentos que no se suponía que fueran públicos. Se podía acceder al cubo en cuestión desde cualquier parte del mundo y no estaba protegido por una contraseña. Los expertos compartieron sus hallazgos con Zack Whittaker de TechCrunch, quien confirmó la validez de la información y descubrió que algunos de los documentos databan de 2017. Más preocupante, descubrió que alguien estaba poniendo datos nuevos en el cubo diariamente. Esto es lo que exponían exactamente.

Las solicitudes de copias de los certificados de nacimiento y defunción se dejaron en un depósito de AWS no seguro

Los ciudadanos estadounidenses que necesitan una copia de sus certificados de nacimiento pueden solicitarlos en persona en una institución gubernamental de su estado, o pueden usar los servicios de una compañía en línea que procesa las solicitudes de las personas y actúa como intermediario. Una de esas empresas tuvo la tarea de manejar al menos 752 mil aplicaciones. Los puso a todos en el cubo AWS no asegurado antes mencionado. El paquete también contenía un poco más de 90 mil solicitudes de certificados de defunción, aunque descargarlas era imposible, según el informe de Whittaker.

Aunque los certificados de nacimiento reales no estaban expuestos, las solicitudes para ellos todavía estaban llenas de información personal. Los detalles varían de estado a estado, pero como era de esperar, la exposición no fue insignificante. Algunos de los datos revisados por Whittaker incluyen:

• Nombres
• Fechas de nacimiento
• Direcciones físicas
• Correos electrónicos
• Nombres de miembros de la familia.
• Domicilios pasados

En una palabra, el cubo es el sueño de un ladrón de identidad. Lo creas o no, sin embargo, este no es el mayor problema.

Amazon se niega a bajar el cubo y el propietario no responde

Podemos hablar de manera considerable acerca de cómo este es el próximo en una línea muy larga de cubos de AWS mal configurados que filtran detalles personales de miles de personas desprevenidas, pero aquellos de ustedes que han estado siguiendo las noticias saben todo sobre el problema. En este caso particular, el mayor problema radica en la reacción de las personas responsables de asegurar los datos. Más precisamente, el problema radica en la falta de tal reacción.

Los investigadores de Whittaker y Fidus no tuvieron problemas para determinar quién fue el responsable de la fuga. Sin embargo, cuando intentaron contactar a la empresa infractora, todo lo que obtuvieron fue una colección de correos electrónicos automatizados. Luego se pusieron en contacto con Amazon, pero en lugar de actuar rápidamente para detener la fuga, uno de los mayores proveedores de almacenamiento en la nube del mundo simplemente dijo que también informará al propietario del depósito. Como resultado, los datos permanecieron accesibles para cualquiera que pueda acceder a la dirección web, lo que, según Whittaker, no es muy difícil de adivinar.

Debido a que el balde permaneció abierto, Whittaker decidió proteger a los cientos de miles de personas afectadas por la fuga, y no mencionó al propietario en su informe. Aunque el delincuente sigue siendo desconocido para el público, sin embargo, toda la historia debería ser una lección para todos. Debería ser una lección no solo sobre la importancia de la seguridad de los depósitos de almacenamiento de AWS, sino también sobre cómo no reaccionar ante los informes de una fuga de datos significativa.