Een onbeschermde server lekte 24 miljoen gevoelige huisvestingsdocumenten niet één maar twee keer

Enorme woninglek blootgesteld koper documenten


Als u in de VS woont en ergens in het afgelopen decennium een ​​huis heeft gekocht, kan uw informatie gevaar lopen. Volgens TechCrunch werden meer dan 24 miljoen hypotheek- en bankdocumenten blootgesteld niet één maar twee keer.

De blootgestelde informatie omvatte hypotheekleningen, betalingsschema’s, telefoonnummers van leners en andere gevoelige financiële gegevens.

De dader? Een enkele onbeveiligde server. Als u denkt dat dat slecht is, wordt het nog erger: deze server bevat niet alleen miljoenen gevoelige documenten, maar bevat zelfs geen wachtwoord.

Met andere woorden, deze informatie was beschikbaar voor iedereen die vijf seconden had om zijn browser te openen en de URL in te typen.

Laat waardevolle spullen binnen met de voordeur ontgrendeld

De documenten in kwestie werden opgeslagen door Ascension, een gegevens- en analysebedrijf van derden. In een openbare blogpost verklaarde infosec-expert Bob Diachenko, die voor het eerst de openbare server ontdekte, dat er meer dan 24 miljoen records openlijk beschikbaar waren.

De records, die meer dan tien jaar teruggaan, bevatten maar liefst 51 GB aan OCR-gegevens (optische tekenherkenning). Hoewel dit type tekst gemakkelijk leesbaar is voor het blote oog, kan het eenvoudig worden samengevoegd om privégegevens bekend te maken.

“Deze informatie zou een goudmijn zijn voor cybercriminelen die alles hebben wat ze nodig hebben om identiteiten te stelen, valse belastingaangiften in te dienen, leningen of creditcards te krijgen.”, Schreef Diachenko.

De geldschieters hadden geen idee dat deze documenten bestonden

De blootgestelde server bevatte tienduizenden financiële documenten van verschillende banken en instellingen, waaronder Wells Fargo, Capital One, HSBC Life Insurance, CitiFinancial en meer. Hoewel de informatie enigszins vervormd was, was het relatief eenvoudig te reconstrueren – vooral als een persoon de juiste hulpmiddelen moest gebruiken.

Maar dit is de kicker: de meeste banken hebben bekend gemaakt dat ze geen enkele band hebben met Ascension. Wells Fargo ging op record dat het “geen verkopersrelatie had met Ascension sinds 2010.” HSBC zei hetzelfde.

Dit betekent dat de persoonlijke huisvestingsdocumenten van mensen van verschillende bedrijven rondsprongen en in meerdere gevallen van eigenaar wisselden – in sommige gevallen zonder dat de oorspronkelijke geldschieter het weet– om uiteindelijk op een website terecht te komen waar iedereen vreemdelingen heeft uitgenodigd.

Houd me twee keer voor de gek, schaam je

De belichting lijkt een open en gesloten zaak, toch? Jammer genoeg niet. Een dag na het eerste rapport vond Diachenko een andere onbeveiligde server met dezelfde bestanden. Deze server bevatte wederom geen wachtwoordvergrendeling, en erger nog, alle gevoelige documenten werden in gewone tekst weergegeven.

Nogmaals, het wordt erger. De bestanden zijn opgeslagen op een Amazon S3-opslagserver, die standaard wachtwoordbeveiliging mogelijk maakt. Dit betekent dat de partij (of partijen) die verantwoordelijk is voor het huisvesten van deze persoonlijke documenten, de instellingen voor wachtwoordbeveiliging vrijwillig heeft gedeactiveerd.

Dat is alsof je al je geld onder je matras houdt, je voordeur fysiek verwijdert en vervolgens een week lang op vakantie gaat!

Oké, als je dacht dat het nog erger kon worden met dat verhaal over hypotheekdocumenten dat we kapot maakten, heb je het mis. Ik vond een openbare OPEN S3-emmer vol gescande documenten die werden gebruikt voor OCR => Elasticsearch… @zackwhittaker zal in een seconde meer vertellen

– Bob Diachenko (@MayhemDayOne) 24 januari 2019

Het is vermeldenswaard dat, net als de eerste cache met gegevens, deze ook W-2’s en andere gevoelige financiële documenten bevatte. Helaas is er ook geen manier om te weten hoe lang deze informatie is blootgesteld of welke partijen deze hebben bekeken.

“Ik zou aannemen dat na zulke publiciteit als deze jongens, het eerste wat je zou moeten doen is controleren of je cloudopslag down is of, tenminste, met een wachtwoord is beveiligd,” zei Diachenko.

Blijkbaar niet.

Stappen om uw informatie te beveiligen

Hoewel het heel goed mogelijk is dat er geen schade is aangericht, doet het nooit pijn om voorbereid te zijn. Als u in de VS woont en in het afgelopen decennium een ​​huis heeft gekocht, wilt u misschien een paar minuten de tijd nemen om uw recente kredietrapporten door te nemen om te zien of er belangrijke wijzigingen zijn.

Het wordt ook aanbevolen om 2-factor-authenticatie in te schakelen voor uw verschillende online accounts. Door een tweede inlogmethode in te stellen, kunnen derden zich niet aanmelden bij uw verschillende accounts, zelfs als ze al uw gegevens hebben.

Bovendien is het ook belangrijk om alle e-mailadressen nogmaals te controleren voordat u een bijlage opent. Met delen van uw persoonlijke gegevens bij de hand is het bekend dat hackers kwaadaardige e-mails verzenden vermomd als een gerenommeerd bedrijf die vaak specifieke details vermelden (bijv. Uw gebruikersnaam, wachtwoord, enz.), En dan de ontvanger aansporen om te wijzigen (of te bevestigen) hun wachtwoord, open een bijlage en meer.

Als u de ontvanger niet kent, of als een e-mail automatisch als verdacht wordt gemarkeerd, kunt u het beste voorzichtig benaderen.

Hoewel dit verhaal nog in ontwikkeling is, dient het als een waarschuwend verhaal om altijd uw wachtwoord- en beveiligingsinstellingen in te schakelen. Omdat u een willekeurig bedrijf niet kunt vertrouwen om uw persoonlijke gegevens te beschermen, is het aan u om uw privacy in eigen handen te nemen.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map