Neapsaugotas serveris nutekėjo 24 milijonus slapto būsto dokumentų ne kartą, o du kartus

Dėl didžiulio būsto nutekėjo pirkėjo dokumentai


Jei gyvenate JAV ir per pastarąjį dešimtmetį nusipirkote namą, jūsų informacijai gali kilti pavojus. „TechCrunch“ duomenimis, buvo paviešinta daugiau nei 24 milijonai hipotekos ir bankų dokumentų ne vieną kartą, o du kartus.

Pateiktoje informacijoje buvo hipotekos paskolų sutartys, mokėjimų grafikai, skolininkų telefono numeriai ir kiti neskelbtini finansiniai duomenys.

Kaltininkas? Vienas nesaugus serveris. Jei manote, kad blogai, darosi dar blogiau: Be to, kad jame buvo milijonai neskelbtinų dokumentų, šiame serveryje nebuvo net slaptažodžio.

Kitaip tariant, ši informacija buvo prieinama kiekvienam, kuris turėjo penkias sekundes atidaryti savo naršyklę ir įvesti URL.

Palikite vertybes viduje, kol durys neužrakintos

Aptariamus dokumentus saugojo „Ascension“, trečiųjų šalių duomenų ir analizės įmonė. Viešame tinklaraščio įraše infosektų ekspertas Bobas Diachenko, pirmą kartą atradęs viešąjį serverį, pareiškė, kad atvirai yra daugiau nei 24 mln. Įrašų.

Įrašai, sukurti daugiau nei prieš dešimtmetį, talpina 51 GB OCR (optinio simbolių atpažinimo) duomenis. Nors šio tipo tekstą lengva perskaityti plika akimi, jį galima lengvai analizuoti, kad būtų galima atskleisti privačią informaciją..

„Ši informacija būtų aukso kasykla kibernetiniams nusikaltėliams, turintiems viską, ko reikia pavogti tapatybę, pateikti melagingas mokesčių deklaracijas, gauti paskolas ar kreditines korteles“, – rašė Diachenko.

Kreditoriai net neįtarė, kad šie dokumentai egzistuoja

Atskleistame serveryje buvo dešimtys tūkstančių finansinių dokumentų iš įvairių bankų ir institucijų, įskaitant „Wells Fargo“, „Capital One“, „HSBC Life Insurance“, „CitiFinancial“ ir kt. Nors informacija buvo šiek tiek iššifruota, ją buvo gana lengva rekonstruoti, ypač jei asmuo turėjo naudoti tinkamus įrankius.

Bet čia yra skandalistas: Daugelis bankų įrašė rekordą, sakydami, kad jie neturi jokio ryšio su Ascenzija. Tiesą sakant, Wells Fargo įrašė, kad „nuo 2010 m. Neturėjo jokių pardavėjo ryšių su„ Ascension “. HSBC sakė tą patį.

Tai reiškia, kad žmonių asmeniniai būsto dokumentai šoktelėjo iš skirtingų kompanijų, kelis kartus keisdami rankas – kai kuriais atvejais net nesuvokdamas pradinio finansinio skolintojo– galiausiai nusileisti į svetainę, kurioje visi, išskyrus pakviestus nepažįstamus žmones, yra.

Kvailinkite mane du kartus, jums gėda

Ekspozicija atrodo kaip atviras ir uždarytas atvejis, tiesa? Deja, ne. Praėjus dienai po pirminio pranešimo, Diachenko rado dar vieną nesaugų serverį, kuriame buvo tie patys failai. Šis serveris dar kartą neįtraukė slaptažodžio užrakto, o dar blogiau, kad visi neskelbtini dokumentai paprastu tekstu buvo išvardyti.

Vėlgi, tai blogėja. Failai buvo saugomi „Amazon S3“ saugojimo serveryje, kuris pagal nutylėjimą įgalina slaptažodžių apsaugą. Tai reiškia, kad šalis (ar šalys), atsakingos už šių asmens dokumentų laikymą, savanoriškai išjungė slaptažodžio apsaugos parametrus.

Tai yra, kaip laikyti visus pinigus po čiužiniu, fiziškai nuimti priekines duris ir išeiti į savaitės atostogas!

Gerai, jei jūs manėte, kad viskas gali pablogėti dėl tos hipotekos dokumentų istorijos, kurią mes sugadinome, klystate. Radau įmonės viešą OPEN S3 kibirą, pilną nuskaitytų dokumentų, kurie buvo naudojami OCR => Elasticsearch … @zackwhittaker papasakos daugiau per sekundę

– Bobas Diachenko (@MayhemDayOne) 2019 m. Sausio 24 d

Verta paminėti, kad, kaip ir pirmojoje duomenų talpykloje, šiame taip pat buvo W-2 ir kiti neskelbtini finansiniai dokumentai. Deja, taip pat nėra galimybės pasakyti, kiek laiko ši informacija buvo paviešinta ar kurios šalys ją žiūrėjo.

„Aš manau, kad po tokio viešumo, kokį turėjo šie vaikinai, pirmiausia turėtumėte patikrinti, ar jūsų debesies saugykla neveikia ar bent jau apsaugota slaptažodžiu“, – sakė Diachenko.

Matyt ne.

Veiksmai, padėsiantys apsaugoti jūsų informaciją

Nors visiškai įmanoma, kad nepadaryta jokios žalos, ji niekada neskaudina būti pasirengusi. Jei gyvenate JAV ir perkate namą per pastarąjį dešimtmetį, galbūt norėsite skirti keletą minučių, kad peržiūrėtumėte naujausias kredito ataskaitas ir išsiaiškintumėte, ar nėra kokių nors esminių pokyčių.

Taip pat rekomenduojama įgalinti dviejų faktorių autentifikavimą įvairiose internetinėse paskyrose. Nustatydami antrą prisijungimo metodą, trečiosios šalys negalės prisijungti prie įvairių jūsų paskyrų, net jei jose yra visa jūsų informacija.

Be to, prieš atidarant priedą, svarbu dar kartą patikrinti visus el. Pašto adresus. Turėdami po ranka jūsų asmeninę informaciją, žinoma, kad įsilaužėliai siunčia kenksmingus el. Laiškus, paslėptus kaip garbinga įmonė, kuriuose dažnai minima konkreti informacija (pvz., Jūsų vartotojo vardas, slaptažodis ir kt.), Ir tada ragina gavėją pakeisti (arba patvirtinti). jų slaptažodį, atidaryti priedą ir dar daugiau.

Jei nežinote gavėjo arba jei el. Laiškas automatiškai pažymimas kaip įtartinas, geriausia kreiptis atsargiai..

Nors ši istorija vis dar kuriama, ji yra atsargi pasaka, leidžianti visada įjungti slaptažodį ir saugos parametrus. Kadangi negalite patikėti atsitiktine kompanija, kad apsaugotumėte savo asmeninę informaciją, privatumą turite paimti į savo rankas.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map