O scurgere de date a expus 750.000 de formulare cu date personale complete


Peste 752.000 de cereri de eliberare a certificatelor de naștere au fost expuse online de o companie care le facilita oamenilor obținerea de copii ale certificatelor de naștere și deces de la guvernele de stat din Statele Unite, raportează TechCrunch. Evident, memoria cache expusă online includea o mulțime de date personale.

Această scurgere de date a fost raportată de Fidus Information Security, o companie specializată în testarea penetrării. Cererile au fost găsite pe platforma Amazon Web Services (AWS), fără să fie securizate în vreun fel. Asta înseamnă că oricine ar fi putut ghici adresa web relativ simplă și accesa datele aplicanților.

Deși procesul de eliberare a acestor cereri variază de la stat la stat, scopul final este același - să le permită oamenilor să dobândească o copie a datelor lor. Aceste cereri includ date personale sensibile, cum ar fi numele, data nașterii, adresa de domiciliu curentă, e-mailul și numărul de telefon. În plus, cererile includ, de asemenea, numele membrilor familiei, adresele anterioare sau motivul pentru care au solicitat documentele.

Cache-ul respectiv includea cereri datând încă din 2017. Compania care administrează serviciul a adăugat aproximativ 9.000 de astfel de cereri la arhivă într-o singură săptămână. Autenticitatea datelor a fost verificată de TechCrunch prin compararea lor cu evidențele publice.

Oricât de șocantă ar putea să pară la prima vedere această scurgere de date, acesta nu este un caz izolat. Pe o durată de aproximativ 12 luni, între iunie 2018 - mai 2019, un număr de 2,3 miliarde de fișiere au fost găsite online, din cauza unor tehnologii de stocare și partajare de fișiere, configurate necorespunzător sau lipsite de vreo măsură de protecție.

Bibliotecile Amazon S3 ale organizațiilor au reprezentat 8% din expunerea totală. Cu toate acestea, o funcție lansată anul trecut de AWS, cea de blocare a accesului public, a atenuat pagubele acestui incident. 

Scurgerile de date de la depozitele de fișiere cu configurații publice configurate necorespunzător pot duce la fraudă și furt de identitate. Deși acest caz a avut loc în Statele Unite, este de remarcat faptul că aceste tipuri de întârzieri în materie de securitate pot duce la sancțiuni dure în conformitate cu Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene.

Amer Owaida December 11, 2019

Lasa un comentariu