Személyazonosság-lopás születéskor: 752 000 születési anyakönyvi kivonat iránti kérelmet tettek közzé online módon

Akár tetszik, akár nem, bármilyen formájú és méretű online vállalat hatalmas mennyiségű személyes adatot kezel. Kissé megjósolhatóan nem mindig teszik ezt túl jól. Például a hónap elején a Fidus Information Security penetrációs tesztelési szakemberei felfedezték az Amazon Web Services (AWS) tárolóvödröt, amely tartalmazott olyan dokumentumokat, amelyeknek nem kellett volna nyilvánosságra hozniuk. A kérdéses vödör a világ bármely pontjáról elérhető volt, és nem volt jelszóval védett. A szakértők megosztották eredményeiket a TechCrunch Zack Whittakerrel, aki megerősítette az információk érvényességét, és felfedezte, hogy néhány dokumentum 2017. évre nyúlik vissza. Aggasztóbbnak találta, hogy valaki napi rendszerességgel új adatokat helyez a vödörbe. Pontosan ezt mutatják ki.

A születési és haláleseti példányok iránti kérelmeket nem biztonságos AWS vödörbe hagyták

Az amerikai állampolgárok, akiknek szükségük van születési anyakönyvi kivonatukra, személyesen kérhetik őket az államaik kormányzati intézményeiben, vagy igénybe vehetik egy online cég szolgáltatásait, amely feldolgozza az emberek kérelmeit és közvetítőként működik. Az egyik ilyen társaság feladata legalább 752 ezer alkalmazás kezelése. Mindegyiket a fent említett nem biztonságos AWS vödörbe tette. A vödörben valamivel több mint 90 ezer halálos bizonyítvány iránti kérelem volt, bár ezek letöltése nem volt lehetséges - mondta Whittaker jelentése.

Noha a tényleges születési anyakönyvi kivonatokat nem tették közzé, a hozzájuk benyújtott kérelmek még mindig tele voltak személyes adatokkal. A részletek államonként változtak, de ahogy várták, az expozíció nem volt jelentéktelen. A Whittaker által áttekintett adatok közé tartozik:

• nevek
• Születési dátumok
• Fizikai címek
• Email címek
• A családtagok nevei
• Korábbi otthoni címek

Egyszóval: a vödör egy identitási tolvaj álma. Hidd el vagy sem, ez nem a legnagyobb probléma.

Az Amazon nem hajlandó levenni a vödröt, és a tulajdonos továbbra sem reagál

Nagyon hosszú ideig beszélhetünk arról, hogy ez hogyan lehet a következő egy nagyon hosszú, hibásan konfigurált AWS vödörben, amelyek kiszivárogtatják a gyanútlan személyek ezreinek személyes adatait, de azok közül, akik a híreket követték, mindent tudnak a problémáról. Ebben az esetben a legnagyobb kérdés az adatok biztonságáért felelős emberek reakciója. Pontosabban, a kérdés az ilyen reakció hiánya.

Whittaker és Fidus kutatóinak nem volt problémájuk kitalálni, ki felelős a szivárgásért. Amikor megpróbálták felvenni a kapcsolatot a jogsértő céggel, csak az automata e-mailek gyűjteményét kapták meg. Ezután kapcsolatba léptek az Amazon-tal, de ahelyett, hogy gyorsan cselekednének a szivárgás megakadályozására, a világ egyik legnagyobb felhőalapú tároló-szolgáltatója egyszerűen azt mondta, hogy ez is tájékoztatja a vödör tulajdonosát. Ennek eredményeként az adatok bárki számára elérhetővé váltak, akik elérhetik a webcímet, amelyet Whittaker szerint nem nehéz megjósolni.

Mivel a vödör nyitva maradt, Whittaker úgy döntött, hogy megvédi a szivárgás által érintett több százezer embert, és a jelentésében nem nevezte meg a tulajdonosot. Noha az elkövető ismeretlen a nyilvánosság számára, a történetnek mindenki számára lecke kell lennie. Tanulságnak kell lennie, nem csak arról, hogy mennyire fontos az AWS tárolóvödrök biztonsága, hanem arról is, hogyan ne reagáljunk a jelentõs adatszivárgás jelentéseire.