Identitetsstöld vid födseln: 752 000 ansökningar om kopior av födelsecertifikat avslöjades online

Oavsett om vi gillar det eller inte, online-företag i alla former och storlekar hanterar enorma mängder personlig information. Något förutsägbart gör de det inte alltid så bra. Tidigare denna månad upptäckte till exempel specialister för penetrationstest från Fidus Information Security en Amazon Web Services (AWS) lagringsskopa innehållande en mängd dokument som inte skulle vara offentlig. Skopan i fråga var tillgänglig från var som helst i världen och skyddades inte med ett lösenord. Experterna delade sina resultat med TechCrunchs Zack Whittaker, som bekräftade giltigheten av informationen och upptäckte att några av dokumenten daterade tillbaka till 2017. Mer oroande, fann han att någon satte ny data i hinken dagligen. Här är vad de avslöjade exakt.

Ansökningar om kopior av födelse- och dödscertifikat lämnades i en osäker AWS-hink

Amerikanska medborgare som behöver en kopia av sina födelsecertifikat kan begära dem personligen vid en statlig institution i sin stat, eller de kan använda tjänsterna hos ett onlineföretag som behandlar människors ansökningar och fungerar som mellanhand. Ett sådant företag fick i uppdrag att hantera minst 752 tusen ansökningar. Det placerade dem alla i ovannämnda oskyddade AWS-hink. Hinken hade också drygt 90 tusen ansökningar om dödsintyg, även om nedladdning av dessa var omöjligt, enligt Whittakers rapport.

Även om de faktiska födelsecertifikaten inte exponerades var applikationerna för dem fortfarande full av personlig information. Detaljerna varierade från stat till stat, men som du kan förvänta dig var exponeringen inte obetydlig. Några av de uppgifter som Whittaker granskade inkluderade:

• Namn
• Födelsedatum
• Fysiska adresser
• Mejladresser
• Namn på familjemedlemmar
• Tidigare hemadresser

Kort sagt är hinken en identitetstjuvs dröm. Tro det eller inte, men detta är inte det största problemet.

Amazon vägrar att ta ner hinken och ägaren förblir svarsfri

Vi kan prata i någon betydande längd om hur detta är nästa i en mycket lång rad felkonfigurerade AWS-hinkar som läcker personliga uppgifter om tusentals intetanande individer, men de av er som har följt nyheterna vet allt om problemet. I detta fall är den största frågan reaktionen från de personer som är ansvariga för att säkra uppgifterna. Mer exakt ligger frågan med avsaknaden av en sådan reaktion.

Whittaker och Fidus forskare hade inga problem att räkna ut vem som var ansvarig för läckan. När de försökte kontakta det kränkande företaget, var det enda de fick en samling automatiserade e-postmeddelanden. De kom sedan i kontakt med Amazon, men istället för att agera snabbt för att stoppa läckan, sa en av världens största leverantörer av molnlagring att det också kommer att informera ägaren om hinken. Som ett resultat förblev uppgifterna tillgängliga för alla som kan komma till webbadressen, vilket enligt Whittaker inte är särskilt svårt att gissa.

Eftersom hinken förblev öppen beslutade Whittaker att skydda hundratusentals människor som drabbades av läckan, och han gav inte namnet ägaren i sin rapport. Även om gärningsmannen förblir okänd för allmänheten, bör dock hela historien vara en lektion för alla. Det borde vara en lektion, inte bara om hur viktig säkerheten för AWS-lagringsskopor är, utan också om hur man inte reagerar på rapporter om en betydande dataläckage.