Kradzież tożsamości w chwili urodzenia: 752 000 wniosków o kopie świadectw urodzenia ujawniono online
Niezależnie od tego, czy nam się to podoba, czy nie, firmy internetowe o różnych kształtach i rozmiarach przetwarzają ogromne ilości danych osobowych. W pewnym stopniu przewidywalne nie zawsze robią to dobrze. Na przykład w tym miesiącu specjaliści od testów penetracyjnych z Fidus Information Security odkryli wiadro magazynowe Amazon Web Services (AWS) zawierające stertę dokumentów, które nie powinny być publiczne. Wiadro, o którym mowa, było dostępne z dowolnego miejsca na świecie i nie było chronione hasłem. Eksperci podzielili się swoimi odkryciami Zack Whittaker z TechCruncha, który potwierdził prawdziwość informacji i odkrył, że niektóre dokumenty pochodzą z 2017 roku. Co bardziej niepokojące, dowiedział się, że ktoś codziennie umieszcza nowe dane w koszyku. Oto, co dokładnie ujawniają.
Wnioski o kopię aktu urodzenia i zgonu pozostawiono w niezabezpieczonym wiaderku AWS
Obywatele USA, którzy potrzebują kopii swoich akt urodzenia, mogą poprosić o nie osobiście w instytucji rządowej w ich stanie lub mogą skorzystać z usług firmy internetowej, która przetwarza aplikacje osób i działa jako pośrednik. Jedna taka firma miała za zadanie obsłużyć co najmniej 752 tysiące wniosków. Umieścił je wszystkie w wyżej wymienionym niezabezpieczonym segmencie AWS. W wiadrze znalazło się również nieco ponad 90 tysięcy wniosków o wydanie aktu zgonu, choć ich pobranie nie było możliwe, zgodnie z raportem Whittakera.
Chociaż faktyczne akty urodzenia nie zostały ujawnione, wnioski o nie były nadal pełne danych osobowych. Szczegóły różniły się w zależności od stanu, ale, jak można się spodziewać, ekspozycja nie była nieznaczna. Niektóre z danych, które Whittaker sprawdził, to:
- Nazwy
- Daty urodzenia
- Adresy fizyczne
- Adresy e-mail
- Nazwiska członków rodziny
- Wcześniejsze adresy domowe
Jednym słowem, wiadro to marzenie złodzieja tożsamości. Wierzcie lub nie, ale nie jest to największy problem.
Amazon nie chce zdjąć wiadra, a właściciel nie reaguje
Możemy dość długo mówić o tym, w jaki sposób jest to kolejny z bardzo długiej linii źle skonfigurowanych wiader AWS, które wyciekają dane osobowe tysięcy niczego niepodejrzewających osób, ale ci z was, którzy śledzili wiadomości, wiedzą wszystko o tym problemie. W tym konkretnym przypadku największym problemem jest reakcja osób odpowiedzialnych za zabezpieczenie danych. Mówiąc dokładniej, problem polega na braku takiej reakcji.
Badacze Whittaker i Fidus nie mieli problemów z ustaleniem, kto jest odpowiedzialny za wyciek. Kiedy jednak próbowali skontaktować się ze sprawcą, otrzymali tylko zbiór automatycznych wiadomości e-mail. Następnie skontaktowali się z Amazonem, ale zamiast działać szybko, aby powstrzymać wyciek, jeden z największych na świecie dostawców pamięci masowej w chmurze po prostu powiedział, że również poinformuje właściciela wiadra. W rezultacie dane pozostały dostępne dla każdego, kto może uzyskać dostęp do adresu internetowego, co według Whittakera nie jest trudne do odgadnięcia.
Ponieważ wiadro pozostało otwarte, Whittaker postanowił chronić setki tysięcy osób, które ucierpiały z powodu wycieku, i nie podał właściciela w swoim raporcie. Chociaż przestępca pozostaje nieznany opinii publicznej, cała historia powinna być lekcją dla wszystkich. Powinna to być lekcja nie tylko na temat tego, jak ważne jest bezpieczeństwo segmentów pamięci AWS, ale także na tym, jak nie reagować na zgłoszenia znacznego wycieku danych.