Кража личных данных при рождении: 752 000 заявлений на копии свидетельств о рождении были раскрыты в Интернете

Birth Certificate Applications Exposed

Нравится нам это или нет, онлайн-компании всех форм и размеров обрабатывают огромные объемы персональных данных. Несколько предсказуемо, они не всегда делают это очень хорошо. Например, в начале этого месяца специалисты по тестированию на проникновение из Fidus Information Security обнаружили хранилище Amazon Web Services (AWS), в котором хранится множество документов, которые не должны были быть открытыми. Рассматриваемое ведро было доступно из любой точки мира и не было защищено паролем. Эксперты поделились своими выводами с Заком Уиттакером из TechCrunch, который подтвердил достоверность информации и обнаружил, что некоторые документы датируются 2017 годом. Еще более тревожно то, что он узнал, что кто-то ежедневно выкладывает новые данные в корзину. Вот что они выставили точно.

Заявки на копии свидетельств о рождении и смерти были оставлены в незащищенном ведре AWS

Граждане США, которым нужна копия их свидетельств о рождении, могут лично запросить их в государственном учреждении своего штата или воспользоваться услугами онлайн-компании, которая обрабатывает заявления людей и выступает в качестве посредника. Одной из таких компаний было поручено обработать не менее 752 тысяч заявок. Это поместило их всех в вышеупомянутое необеспеченное ведро AWS. В ведре также находилось чуть более 90 тысяч заявлений на получение свидетельств о смерти, хотя их загрузка была невозможна, согласно отчету Уиттакера.

Хотя фактические свидетельства о рождении не были раскрыты, заявки на них по-прежнему были полны личной информации. Детали варьировались от штата к штату, но, как и следовало ожидать, воздействие не было незначительным. Некоторые из рассмотренных Уиттакером данных включали:

  • Имена
  • Даты рождения
  • Физические адреса
  • Адрес электронной почты
  • Имена членов семьи
  • Прошлые домашние адреса

Одним словом, ведро - это мечта вора. Хотите верьте, хотите нет, но это не самая большая проблема.

Amazon отказывается взять ведро вниз, а владелец остается безразличным

Мы можем довольно долго говорить о том, как это будет следующим в очень длинной цепочке неправильно настроенных корзин AWS, в которых просочились личные данные тысяч не подозревающих людей, но те из вас, кто следил за новостями, знают все о проблеме. В этом конкретном случае самая большая проблема связана с реакцией людей, ответственных за защиту данных. Точнее говоря, проблема заключается в отсутствии такой реакции.

У Уиттекера и исследователей Фидуса не возникло проблем с выяснением, кто несет ответственность за утечку. Однако, когда они пытались связаться с компанией-нарушителем, все, что они получали, было набором автоматических электронных писем. Затем они связались с Amazon, но вместо того, чтобы действовать быстро, чтобы остановить утечку, один из крупнейших в мире провайдеров облачных хранилищ просто сказал, что он также проинформирует владельца о «корзине». В результате данные оставались доступными для всех, кто может получить доступ к веб-адресу, о котором, по словам Уиттекера, догадаться не сложно.

Поскольку ведро оставалось открытым, Уиттакер решил защитить сотни тысяч людей, пострадавших от утечки, и он не назвал владельца в своем отчете. Хотя преступник остается неизвестным для публики, вся история должна стать уроком для всех. Это должен быть урок не только о том, насколько важна безопасность хранилищ AWS, но и о том, как не реагировать на сообщения о существенной утечке данных.

December 17, 2019
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.