Furto di identità alla nascita: 752.000 domande di copie di certificati di nascita sono state esposte online

Che ci piaccia o no, le aziende online di tutte le forme e dimensioni gestiscono enormi quantità di dati personali. Abbastanza prevedibilmente, non sempre lo fanno molto bene. All'inizio di questo mese, ad esempio, gli specialisti dei test di penetrazione di Fidus Information Security hanno scoperto un bucket di archiviazione Amazon Web Services (AWS) contenente una scorta di documenti che non avrebbero dovuto essere pubblici. Il bucket in questione era accessibile da qualsiasi parte del mondo e non era protetto da password. Gli esperti hanno condiviso le loro scoperte con Zack Whittaker di TechCrunch, che ha confermato la validità delle informazioni e ha scoperto che alcuni dei documenti risalgono al 2017. Ancora più preoccupante, ha scoperto che qualcuno stava mettendo nuovi dati nel secchio su base giornaliera. Ecco cosa stavano esponendo esattamente.

Le domande di copie dei certificati di nascita e morte sono state lasciate in un secchio AWS non garantito

I cittadini statunitensi che hanno bisogno di una copia dei loro certificati di nascita possono richiederli di persona presso un'istituzione governativa nel loro stato, oppure possono utilizzare i servizi di una società online che elabora le domande delle persone e funge da intermediario. Una di queste società aveva il compito di gestire almeno 752 mila domande. Li ha messi tutti nel suddetto bucket AWS non garantito. Il secchio conteneva anche poco più di 90 mila domande di certificati di morte, anche se il download di questi era impossibile, secondo il rapporto di Whittaker.

Sebbene i certificati di nascita effettivi non siano stati esposti, le domande per loro erano ancora piene di informazioni personali. I dettagli variano da stato a stato, ma come ci si aspetterebbe, l'esposizione non era insignificante. Alcuni dei dati esaminati da Whittaker includevano:

• Nomi
• Date di nascita
• Indirizzi fisici
• Indirizzi email
• Nomi dei membri della famiglia
• Indirizzi di casa passati

In una parola, il secchio è il sogno di un ladro di identità. Che ci crediate o no, tuttavia, questo non è il problema più grande.

Amazon si rifiuta di buttare giù il secchio e il proprietario non risponde

Possiamo parlare a lungo di come questo sia il prossimo in una lunghissima serie di secchi AWS non configurati correttamente che trapelano dettagli personali di migliaia di individui ignari, ma quelli di voi che hanno seguito le notizie sanno tutto del problema. In questo caso particolare, il problema maggiore risiede nella reazione delle persone responsabili della protezione dei dati. Più precisamente, il problema risiede nella mancanza di una tale reazione.

I ricercatori di Whittaker e Fidus non hanno avuto problemi a capire chi fosse il responsabile della perdita. Quando hanno provato a contattare la società incriminata, tuttavia, hanno ottenuto solo una raccolta di e-mail automatizzate. Si sono quindi messi in contatto con Amazon, ma invece di agire rapidamente per fermare la fuga, uno dei maggiori fornitori al mondo di cloud storage ha semplicemente affermato che anche questo informerà il proprietario del bucket. Di conseguenza, i dati sono rimasti accessibili a chiunque sia in grado di accedere all'indirizzo Web, che, secondo Whittaker, non è molto difficile da indovinare.

Poiché il secchio è rimasto aperto, Whittaker ha deciso di proteggere le centinaia di migliaia di persone colpite dalla perdita e non ha nominato il proprietario nel suo rapporto. Sebbene l'autore del reato rimanga sconosciuto al pubblico, tuttavia, l'intera storia dovrebbe essere una lezione per tutti. Dovrebbe essere una lezione non solo su quanto sia importante la sicurezza dei bucket di archiviazione AWS, ma anche su come non reagire ai report di una significativa perdita di dati.