Кража личных данных при рождении: 752 000 заявлений на копии свидетельств о рождении были раскрыты в Интернете
Нравится нам это или нет, онлайн-компании всех форм и размеров обрабатывают огромные объемы персональных данных. Несколько предсказуемо, они не всегда делают это очень хорошо. Например, в начале этого месяца специалисты по тестированию на проникновение из Fidus Information Security обнаружили хранилище Amazon Web Services (AWS), в котором хранится множество документов, которые не должны были быть открытыми. Рассматриваемое ведро было доступно из любой точки мира и не было защищено паролем. Эксперты поделились своими выводами с Заком Уиттакером из TechCrunch, который подтвердил достоверность информации и обнаружил, что некоторые документы датируются 2017 годом. Еще более тревожно то, что он узнал, что кто-то ежедневно выкладывает новые данные в корзину. Вот что они выставили точно.
Заявки на копии свидетельств о рождении и смерти были оставлены в незащищенном ведре AWS
Граждане США, которым нужна копия их свидетельств о рождении, могут лично запросить их в государственном учреждении своего штата или воспользоваться услугами онлайн-компании, которая обрабатывает заявления людей и выступает в качестве посредника. Одной из таких компаний было поручено обработать не менее 752 тысяч заявок. Это поместило их всех в вышеупомянутое необеспеченное ведро AWS. В ведре также находилось чуть более 90 тысяч заявлений на получение свидетельств о смерти, хотя их загрузка была невозможна, согласно отчету Уиттакера.
Хотя фактические свидетельства о рождении не были раскрыты, заявки на них по-прежнему были полны личной информации. Детали варьировались от штата к штату, но, как и следовало ожидать, воздействие не было незначительным. Некоторые из рассмотренных Уиттакером данных включали:
- Имена
- Даты рождения
- Физические адреса
- Адрес электронной почты
- Имена членов семьи
- Прошлые домашние адреса
Одним словом, ведро - это мечта вора. Хотите верьте, хотите нет, но это не самая большая проблема.
Amazon отказывается взять ведро вниз, а владелец остается безразличным
Мы можем довольно долго говорить о том, как это будет следующим в очень длинной цепочке неправильно настроенных корзин AWS, в которых просочились личные данные тысяч не подозревающих людей, но те из вас, кто следил за новостями, знают все о проблеме. В этом конкретном случае самая большая проблема связана с реакцией людей, ответственных за защиту данных. Точнее говоря, проблема заключается в отсутствии такой реакции.
У Уиттекера и исследователей Фидуса не возникло проблем с выяснением, кто несет ответственность за утечку. Однако, когда они пытались связаться с компанией-нарушителем, все, что они получали, было набором автоматических электронных писем. Затем они связались с Amazon, но вместо того, чтобы действовать быстро, чтобы остановить утечку, один из крупнейших в мире провайдеров облачных хранилищ просто сказал, что он также проинформирует владельца о «корзине». В результате данные оставались доступными для всех, кто может получить доступ к веб-адресу, о котором, по словам Уиттекера, догадаться не сложно.
Поскольку ведро оставалось открытым, Уиттакер решил защитить сотни тысяч людей, пострадавших от утечки, и он не назвал владельца в своем отчете. Хотя преступник остается неизвестным для публики, вся история должна стать уроком для всех. Это должен быть урок не только о том, насколько важна безопасность хранилищ AWS, но и о том, как не реагировать на сообщения о существенной утечке данных.