出生时的身份盗窃:752,000份出生证明复印件申请在线公开
无论我们是否喜欢,各种规模和规模的在线公司都处理大量的个人数据。可以预见的是,他们并不总是做得很好。例如,本月初,来自Fidus Information Security的渗透测试专家发现了一个Amazon Web Services(AWS)存储桶,其中包含不应被公开的文件存储。该存储桶可以从世界任何地方访问,并且不受密码保护。专家与TechCrunch的Zack Whittaker共享了他们的发现,后者确认了这些信息的有效性,并发现其中一些文档的历史可追溯到2017年。更令人担忧的是,他发现有人每天都在将新数据存储在存储桶中。这正是他们所公开的内容。
出生证明和死亡证明副本的申请留在了无抵押的AWS存储桶中
需要出生证明副本的美国公民可以在所在州的政府机构亲自提出要求,也可以使用在线公司的服务来处理人们的申请并充当中介人。一家这样的公司的任务是处理至少75.2万份申请。它将它们全部放入上述不安全的AWS存储桶中。根据Whittaker的报告,该存储桶还保存了超过9万份死亡证明申请,尽管下载这些申请是不可能的。
尽管没有公开实际的出生证明,但是申请这些证明仍然充满了个人信息。各个州的详细信息各不相同,但是正如您所期望的那样,暴露情况并不重要。 Whittaker审查的一些数据包括:
- 名字
- 出生日期
- 实际地址
- 电子邮件地址
- 家人的名字
- 过往住址
简而言之,水桶是身份窃贼的梦想。信不信由你,但这不是最大的问题。
亚马逊拒绝采取行动,所有者仍然没有反应
我们可以花相当长的篇幅谈论这是在配置错误的很长的AWS存储桶中的下一个问题,这些存储桶泄漏了成千上万毫无戒心的个人的个人详细信息,但是一直关注此新闻的人都知道这个问题。在这种情况下,最大的问题在于负责保护数据的人员的反应。更确切地说,问题在于缺乏这种反应。
惠特克和菲杜斯的研究人员毫不费力地找出是谁造成了泄漏。但是,当他们尝试与有问题的公司联系时,他们得到的只是一系列自动电子邮件。然后,他们与亚马逊取得联系,但没有迅速采取行动阻止泄漏,而是全球最大的云存储提供商之一,它只是简单地说,它也将通知用户。结果,可以访问该网址的任何人都可以访问该数据,根据Whittaker的说法,这很难猜到。
由于水桶保持打开状态,Whittaker决定保护成千上万受泄漏影响的人,他没有在报告中提及船东。尽管罪犯仍然是公众所不知道的,但是,整个故事对每个人都是一个教训。这不仅是关于AWS存储桶的安全性有多重要的课程,而且还应如何对重大数据泄漏的报告不做出反应这是一个教训。