Roubo de identidade no nascimento: 752.000 solicitações de cópias de certidões de nascimento foram expostas on-line

Birth Certificate Applications Exposed

Quer gostemos ou não, empresas on-line de todas as formas e tamanhos lidam com enormes quantidades de dados pessoais. Previsivelmente, eles nem sempre fazem isso muito bem. No início deste mês, por exemplo, especialistas em testes de penetração da Fidus Information Security descobriram um bucket de armazenamento da Amazon Web Services (AWS) contendo um estoque de documentos que não deveriam ser públicos. O bucket em questão estava acessível em qualquer lugar do mundo e não estava protegido por uma senha. Os especialistas compartilharam suas descobertas com Zack Whittaker, do TechCrunch, que confirmou a validade das informações e descobriu que alguns dos documentos datam de 2017. Mais preocupante, ele descobriu que alguém estava colocando novos dados no balde diariamente. Aqui está o que eles estavam expondo exatamente.

Os pedidos de cópias de certidões de nascimento e óbito foram deixados em um depósito não seguro da AWS

Os cidadãos dos EUA que precisam de uma cópia de sua certidão de nascimento podem solicitá-los pessoalmente em uma instituição governamental em seu estado, ou podem usar os serviços de uma empresa on-line que processa os aplicativos das pessoas e atua como intermediária. Uma dessas empresas foi encarregada de lidar com pelo menos 752 mil aplicativos. Colocou todos eles no balde inseguro da AWS mencionado acima. O balde também continha um pouco mais de 90 mil pedidos de atestados de óbito, embora o download fosse impossível, segundo o relatório de Whittaker.

Embora as certidões de nascimento reais não tenham sido expostas, os pedidos ainda estavam cheios de informações pessoais. Os detalhes variavam de estado para estado, mas como seria de esperar, a exposição não era insignificante. Alguns dos dados analisados por Whittaker incluem:

  • Nomes
  • Datas de nascimento
  • Endereços físicos
  • Endereço de e-mail
  • Nomes dos membros da família
  • Endereços residenciais anteriores

Em uma palavra, o balde é o sonho de um ladrão de identidade. Acredite ou não, no entanto, este não é o maior problema.

Amazon se recusa a levar o balde para baixo, e o proprietário permanece sem resposta

Podemos conversar bastante sobre como esse é o próximo de uma longa linha de buckets mal configurados da AWS que vazam detalhes pessoais de milhares de indivíduos desavisados, mas aqueles que estão acompanhando as notícias sabem tudo sobre o problema. Nesse caso em particular, o maior problema está na reação das pessoas responsáveis pela proteção dos dados. Mais precisamente, o problema está na falta dessa reação.

Os pesquisadores de Whittaker e Fidus não tiveram problemas para descobrir quem era o responsável pelo vazamento. Quando eles tentaram entrar em contato com a empresa infratora, no entanto, tudo o que conseguiram foi uma coleção de emails automatizados. Eles entraram em contato com a Amazon, mas em vez de agir rapidamente para impedir o vazamento, um dos maiores provedores de armazenamento em nuvem do mundo simplesmente disse que também informaria o proprietário do balde. Como resultado, os dados permaneceram acessíveis a qualquer pessoa que possa acessar o endereço da Web, o que, segundo Whittaker, não é muito difícil de adivinhar.

Como o balde permaneceu aberto, Whittaker decidiu proteger as centenas de milhares de pessoas afetadas pelo vazamento e não nomeou o proprietário em seu relatório. Embora o criminoso permaneça desconhecido do público, no entanto, toda a história deve ser uma lição para todos. Deve ser uma lição não apenas sobre a importância da segurança dos buckets de armazenamento da AWS, mas também sobre como não reagir aos relatórios de um vazamento de dados significativo.

December 17, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.