Usurpation d'identité à la naissance: 752 000 demandes de copies de certificats de naissance ont été exposées en ligne

Que cela nous plaise ou non, les sociétés en ligne de toutes formes et tailles traitent d'énormes quantités de données personnelles. De façon assez prévisible, ils ne le font pas toujours très bien. Plus tôt ce mois-ci, par exemple, des spécialistes des tests d'intrusion de Fidus Information Security ont découvert un compartiment de stockage Amazon Web Services (AWS) contenant une réserve de documents qui n'étaient pas censés être publics. Le seau en question était accessible de partout dans le monde et n'était pas protégé par un mot de passe. Les experts ont partagé leurs conclusions avec Zack Whittaker de TechCrunch, qui a confirmé la validité des informations et a découvert que certains des documents remontaient à 2017. Plus inquiétant, il a découvert que quelqu'un mettait de nouvelles données dans le seau quotidiennement. Voici exactement ce qu'ils exposaient.

Les demandes de copie des certificats de naissance et de décès ont été laissées dans un compartiment AWS non sécurisé

Les citoyens américains qui ont besoin d'une copie de leur certificat de naissance peuvent en faire la demande en personne dans une institution gouvernementale de leur État, ou ils peuvent utiliser les services d'une société en ligne qui traite les demandes des personnes et agit comme intermédiaire. L'une de ces sociétés a été chargée de traiter au moins 752 000 demandes. Il les a tous placés dans le compartiment AWS non sécurisé susmentionné. Le seau contenait également un peu plus de 90 000 demandes de certificats de décès, bien que leur téléchargement soit impossible, selon le rapport de Whittaker.

Bien que les certificats de naissance réels n'aient pas été révélés, les demandes pour eux étaient toujours pleines d'informations personnelles. Les détails variaient d'un État à l'autre, mais comme vous vous en doutez, l'exposition n'était pas négligeable. Certaines des données examinées par Whittaker comprenaient:

• Noms
• Dates de naissance
• Adresses physiques
• Adresses mail
• Noms des membres de la famille
• Adresses antérieures

En un mot, le seau est le rêve d'un voleur d'identité. Croyez-le ou non, cependant, ce n'est pas le plus gros problème.

Amazon refuse de retirer le seau et le propriétaire ne répond pas

Nous pouvons parler longuement de la façon dont il s'agit de la prochaine d'une très longue lignée de compartiments AWS mal configurés qui divulguent les détails personnels de milliers de personnes sans méfiance, mais ceux d'entre vous qui ont suivi les actualités savent tout du problème. Dans ce cas particulier, le plus gros problème réside dans la réaction des personnes responsables de la sécurisation des données. Plus précisément, le problème réside dans l'absence d'une telle réaction.

Les chercheurs de Whittaker et Fidus n'ont eu aucun problème à déterminer qui était responsable de la fuite. Cependant, lorsqu'ils ont essayé de contacter la société incriminée, ils n'ont obtenu qu'une collection de courriels automatisés. Ils ont ensuite pris contact avec Amazon, mais au lieu d'agir rapidement pour arrêter la fuite, l'un des plus grands fournisseurs de stockage cloud au monde a simplement déclaré qu'il informerait également le propriétaire du seau. En conséquence, les données sont restées accessibles à toute personne pouvant accéder à l'adresse Web, ce qui, selon Whittaker, n'est pas très difficile à deviner.

Parce que le seau est resté ouvert, Whittaker a décidé de protéger les centaines de milliers de personnes qui ont été touchées par la fuite, et il n'a pas nommé le propriétaire dans son rapport. Bien que le délinquant reste inconnu du public, toute l'histoire devrait être une leçon pour tout le monde. Cela devrait être une leçon non seulement sur l'importance de la sécurité des compartiments de stockage AWS, mais également sur la façon de ne pas réagir aux rapports d'une fuite de données importante.