Похоже, что в онлайн-хранилище больше нет ничего безопасного. Достаточно сказать, что если у вас есть документ, хранящийся в Интернете, существует опасность, что в какой-то момент он станет общедоступным или будет взломан. Хуже того, иногда безопасность ваших документов просто находится вне вашего контроля.
Даже свидетельства о рождении. Интернет-компания, которая позволяет людям запрашивать копию свидетельства о рождении в США, подала более 750 000 заявлений. Эти приложения хранились в кэше, не защищенном паролем.
Приложения для получения свидетельств о рождении уязвимы
Свидетельства о рождении используются по многим причинам, чтобы подтвердить вашу личность. Это форма идентификации, позволяющая вам… получить другую форму идентификации, например, водительские права, паспорт и т. д. Если ваши права попадут в чужие руки, кто угодно может использовать их для получения какой-либо информации о вас или даже украсть вашу личность.
Fidus Information Security, компания, которая проводит онлайн-тестирование на проникновение, обнаружила эту вопиющую небезопасность. Их открытие было подтверждено TechCrunch.
В хранилище Amazon Web Services было обнаружено более 752 000 заявок на получение копий свидетельств о рождении. В этом же блоке также было 90 400 заявлений на получение свидетельства о смерти, но получить к ним доступ или загрузить их было не так легко, как свидетельства о рождении. Это ведро не было защищено паролем. Это означает, что любой, кто мог получить веб-адрес, мог получить доступ к информации, хранящейся в этих свидетельствах о рождении.
Процесс подачи заявки различается в зависимости от штата, но результат один и тот же. Люди могут использовать эту услугу, чтобы подать заявление в государственное бюро учета для получения копии свидетельства о своем рождении. Обычно это полное имя, дата рождения, текущий домашний адрес, адрес электронной почты, номер телефона и историческая личная информация, включая прошлые адреса и имена членов семьи, а также причину запроса свидетельства о рождении.
Найденные заявки датированы 2017 годом, но речь идет не только о детях, родившихся за последние два года: вы можете запросить копию свидетельства о рождении в разное время своей жизни. Всего за одну неделю компания, имя которой TechCrunch не назвала, добавила в корзину около 9000 приложений.
До публикации статьи TechCrunch компании было отправлено несколько электронных писем с предупреждением о раскрытых данных, но в ответ они получили только автоматические электронные письма, никаких действий предпринято не было. С Amazon связались, но компания отказалась вмешаться, но согласилась проинформировать своего клиента. Также был уведомлен местный орган по защите данных.
Никаких оправданий
Этому не может быть никаких оправданий. Оставлять такие конфиденциальные данные открытыми даже без пароля просто вопиюще. Просто подумайте обо всех наших разговорах о безопасности и конфиденциальности, а также о мерах, которые необходимо принять, и о том, что простого пароля недостаточно — эта компания даже этого не сделала, даже пароля.
Как вы думаете, что следует сделать в этом случае? Стоит ли наказать эту компанию? Однако имеет ли это значение, поскольку ущерб уже нанесен. Расскажите нам, что вы думаете о том, что заявления на получение свидетельства о рождении остаются незащищенными в Интернете.
