Identitetstyveri ved fødselen: 752 000 søknader om kopier av fødselsattester ble utsatt på nettet
Enten vi liker det eller ikke, online selskaper i alle former og størrelser håndterer enorme mengder personopplysninger. Noe forutsigbart gjør de det ikke alltid veldig bra. Tidligere denne måneden oppdaget for eksempel spesialister innen penetrasjonstesting fra Fidus Information Security en Amazon Web Services (AWS) lagringsbøtte som inneholder en stas med dokumenter som ikke var ment å være offentlig. Den aktuelle bøtten var tilgjengelig hvor som helst i verden og var ikke beskyttet av passord. Ekspertene delte funnene sine med TechCrunchs Zack Whittaker, som bekreftet gyldigheten av informasjonen og oppdaget at noen av dokumentene daterte tilbake til 2017. Mer bekymringsfullt fant han ut at noen la nye data i bøtta til daglig. Her var hva de utsatte nøyaktig.
Søknader om kopier av fødsels- og dødsattester ble liggende i en usikret AWS-bøtte
Amerikanske statsborgere som trenger en kopi av fødselsattestene sine, kan be dem om personlig ved en statlig institusjon i staten, eller de kan bruke tjenestene til et online selskap som behandler folks søknader og fungerer som mellommann. Et slikt selskap fikk i oppgave å håndtere minst 752 tusen søknader. Det la dem alle i den nevnte usikrede AWS-bøtta. Bøtten hadde også litt over 90 000 søknader om dødsattester, selv om det var umulig å laste ned disse, ifølge Whittakers rapport.
Selv om de faktiske fødselsattestene ikke ble utsatt, var søknadene om dem fremdeles fulle av personlig informasjon. Detaljene varierte fra stat til stat, men som du forventer var eksponeringen ikke ubetydelig. Noen av dataene Whittaker vurderte, inkluderer:
- Navnene
- Fødselsdato
- Fysiske adresser
- E-post adresse
- Navn på familiemedlemmer
- Tidligere hjemmeadresser
Kort sagt er bøtten en identitetstyvs drøm. Tro det eller ei, men dette er ikke det største problemet.
Amazon nekter å ta bøtta ned, og eieren forblir ikke svarende
Vi kan snakke om noen betydelig lengde om hvordan dette er det neste i en veldig lang rekke feilkonfigurerte AWS-bøtter som lekker personlige detaljer fra tusenvis av intetanende individer, men de av dere som har fulgt nyhetene vet alt om problemet. I dette tilfellet ligger den største saken ved reaksjonen fra personene som er ansvarlige for å sikre dataene. Mer presist ligger problemet med mangelen på en slik reaksjon.
Whittaker og Fidus 'forskere hadde ingen problemer med å finne ut hvem som var ansvarlig for lekkasjen. Da de prøvde å kontakte det fornærmede selskapet, var det eneste de fikk en samling automatiserte e-poster. De kom da i kontakt med Amazon, men i stedet for å handle raskt for å stoppe lekkasjen, sa en av verdens største leverandører av skylager bare at det også vil informere eieren om bøtta. Som et resultat forble dataene tilgjengelig for alle som kan komme til nettadressen, noe som ifølge Whittaker ikke er veldig vanskelig å gjette på.
Fordi bøtta forble åpen, bestemte Whittaker seg for å beskytte hundretusener av mennesker som var berørt av lekkasjen, og han ga ikke eieren navn i rapporten sin. Selv om fornærmede forblir ukjent for publikum, bør imidlertid hele historien være en leksjon for alle. Det bør være en leksjon ikke bare om hvor viktig sikkerheten til AWS lagringsbøtter er, men også om hvordan man ikke reagerer på rapporter om en betydelig datalekkasje.