出生時の個人情報の盗難:出生証明書のコピーの752,000件のアプリケーションがオンラインで公開されました
好むと好まざるとにかかわらず、あらゆる形と規模のオンライン企業が膨大な量の個人データを処理しています。ある程度予想できることですが、彼らはいつもうまくいくとは限りません。たとえば、今月初めに、Fidus Information Securityの侵入テストスペシャリストは、公開されるはずのないドキュメントのスタッシュを含むAmazon Web Services(AWS)ストレージバケットを発見しました。問題のバケットは世界中のどこからでもアクセスでき、パスワードで保護されていませんでした。専門家は、調査結果をTechCrunchのZack Whittakerと共有しました。ZackWhittakerは情報の有効性を確認し、ドキュメントの一部が2017年に遡ることを発見しました。さらに心配なことに、誰かが毎日新しいデータをバケットに入れていることがわかりました。ここに彼らが正確に公開していたものがあります。
出生証明書と死亡証明書のコピーの申請は、セキュリティで保護されていないAWSバケットに残されました
出生証明書のコピーを必要とする米国市民は、州の政府機関で直接要求するか、人々の申請を処理し、仲介者として機能するオンライン会社のサービスを使用できます。そのような会社の1つは、少なくとも752千のアプリケーションの処理を担当していました。これらすべてを前述の保護されていないAWSバケットに入れました。 Whittakerのレポートによると、バケツには死亡証明書の申請が9万件強もありましたが、それらのダウンロードは不可能でした。
実際の出生証明書は公開されませんでしたが、それらのアプリケーションはまだ個人情報でいっぱいでした。詳細は州ごとに異なりますが、ご想像のとおり、露出はそれほど重要ではありませんでした。 Whittakerがレビューしたデータの一部は次のとおりです。
- お名前
- 生年月日
- 物理アドレス
- メールアドレス
- 家族の名前
- 過去の自宅住所
一言で言えば、バケツはアイデンティティ泥棒の夢です。信じられないかもしれませんが、これは最大の問題ではありません。
Amazonはバケットの削除を拒否し、所有者は応答しません
数千人の疑いを持たない個人の個人情報を漏らす非常に長い構成の誤ったAWSバケットで、これが次の方法であるかについてかなりの長さで話すことができますが、ニュースをフォローしている人は問題についてすべて知っています。この特定の場合、最大の問題は、データを保護する責任者の反応にあります。より正確には、問題はそのような反応の欠如にあります。
WhittakerとFidusの研究者は、誰が漏れの原因であるかを把握するのに問題はありませんでした。しかし、問題のある会社に連絡を取ろうとしたときに得たのは、自動化された電子メールのコレクションだけでした。その後、彼らはAmazonと連絡を取りましたが、リークを止めるために迅速に行動する代わりに、世界最大のクラウドストレージプロバイダーの1つは、それも単にバケットの所有者に通知すると述べました。その結果、Whittakerによれば、Webアドレスにアクセスできる人なら誰でもデータにアクセスでき、推測するのはそれほど難しくありません。
バケットが開いたままだったため、ウィッテッカーは、リークの影響を受けた何十万人もの人々を保護することを決定し、彼の報告では所有者の名前を挙げませんでした。犯罪者はまだ一般に知られていないが、物語全体はすべての人にとっての教訓であるはずである。これは、AWSストレージバケットのセキュリティがいかに重要であるかだけでなく、重大なデータリークのレポートに対応しない方法についてのレッスンでもあるはずです。