出生時的身份盜竊:752,000份出生證明復印件申請在線公開
無論我們是否喜歡,各種規模和規模的在線公司都處理大量的個人數據。可以預見的是,他們並不總是做得很好。例如,本月初,來自Fidus Information Security的滲透測試專家發現了一個Amazon Web Services(AWS)存儲桶,其中包含不應被公開的文件存儲。該存儲桶可以從世界任何地方訪問,並且不受密碼保護。專家與TechCrunch的Zack Whittaker共享了他們的發現,後者確認了這些信息的有效性,並發現其中一些文檔的歷史可追溯到2017年。更令人擔憂的是,他發現有人每天都在將新數據存儲在存儲桶中。這正是他們所公開的內容。
出生證明和死亡證明副本的申請留在了無抵押的AWS存儲桶中
需要出生證明副本的美國公民可以在所在州的政府機構親自提出要求,也可以使用在線公司的服務來處理人們的申請並充當中介人。一家這樣的公司的任務是處理至少75.2萬份申請。它將它們全部放入上述不安全的AWS存儲桶中。根據Whittaker的報告,該存儲桶還保存了超過9萬份死亡證書申請,儘管下載這些文件是不可能的。
儘管沒有公開實際的出生證明,但是申請這些證明仍然充滿了個人信息。各個州的詳細信息各不相同,但是正如您所期望的那樣,暴露情況並不重要。 Whittaker審查的一些數據包括:
- 名字
- 出生日期
- 實際地址
- 電子郵件地址
- 家人的名字
- 過往住址
簡而言之,水桶是身份竊賊的夢想。信不信由你,但這不是最大的問題。
亞馬遜拒絕採取行動,所有者仍然沒有回應
我們可以花相當長的篇幅談論這是在配置錯誤的很長的AWS存儲桶中的下一個問題,這些存儲桶洩漏了成千上萬毫無戒心的個人的個人詳細信息,但是一直關注此新聞的人都知道這個問題。在這種情況下,最大的問題在於負責保護數據的人員的反應。更確切地說,問題在於缺乏這種反應。
惠特克和菲杜斯的研究人員毫不費力地找出是誰造成了洩漏。但是,當他們嘗試與有問題的公司聯繫時,他們得到的只是一系列自動電子郵件。然後,他們與亞馬遜取得了聯繫,但不是迅速採取行動來阻止洩漏,而是全球最大的雲存儲提供商之一,它只是簡單地說,它也將通知用戶。結果,可以訪問該網址的任何人都可以訪問該數據,根據Whittaker的說法,這很難猜到。
由於水桶保持打開狀態,Whittaker決定保護成千上萬受洩漏影響的人,他沒有在報告中提及船東。儘管罪犯仍然是公眾所不知道的,但是,整個故事對每個人都是一個教訓。這不僅是關於AWS存儲桶的安全性有多重要的課程,而且還應如何對重大數據洩漏的報告不做出反應這是一個教訓。