Seorang pelayan tanpa perlindungan membocorkan 24 juta dokumen perumahan sensitif tidak sekali tetapi dua kali
Sekiranya anda tinggal di A.S. dan membeli sebuah rumah pada suatu dekad yang lalu, maklumat anda mungkin berisiko. Menurut TechCrunch, lebih daripada 24 juta dokumen gadai janji dan perbankan terdedah tidak sekali tetapi dua kali.
Maklumat terdedah termasuk perjanjian pinjaman gadai janji, jadual pembayaran, nombor telefon peminjam, dan data kewangan sensitif yang lain.
Penjenayah? Satu pelayan tidak selamat. Sekiranya anda fikir itu buruk, ia menjadi lebih teruk: Sebagai tambahan kepada jutaan dokumen sensitif perumahan, pelayan ini tidak memasukkan kata laluan.
Dengan kata lain, maklumat ini tersedia kepada sesiapa yang mempunyai lima saat untuk membuka penyemak imbas mereka dan menaip URL.
Membiarkan barang berharga di dalam dengan pintu depan dibuka
Dokumen yang dimaksudkan disimpan oleh Ascension, syarikat data dan analisis pihak ketiga. Di dalam blog post awam, pakar infosek Bob Diachenko, yang pertama kali menemui pelayan awam, menyatakan bahawa terdapat lebih daripada 24 juta rekod secara terbuka.
Rekod-rekod, yang kembali lebih dari satu dekad, menempatkan data OCR 51 pengiktirafan optik (OCR). Walaupun jenis teks ini mudah dibaca dengan mata kasar, ia boleh dengan mudah dihuraikan bersama untuk mendedahkan butiran peribadi.
“Maklumat ini akan menjadi lombong emas untuk penjenayah siber yang akan mempunyai semua yang mereka perlukan untuk mencuri identiti, memfailkan cukai palsu, mendapatkan pinjaman atau kad kredit,” tulis Diachenko..
Peminjam tidak tahu dokumen-dokumen ini wujud
Pelayan terdedah menempatkan puluhan ribu dokumen kewangan dari pelbagai bank dan institusi yang berbeza, termasuk Wells Fargo, Modal Satu, Insurans Hayat HSBC, CitiFinancial, dan banyak lagi. Walaupun maklumat itu agak tergesa-gesa, ia agak mudah untuk dibina semula-terutama jika seseorang menggunakan alat yang betul.
Tetapi inilah kicker: Kebanyakan bank telah mencatatkan rekod yang mengatakan bahawa mereka mempunyai hubungan dengan sifar dengan Ascension. Malah, Wells Fargo mencatatkan rekod bahawa ia “tidak mempunyai hubungan vendor dengan Ascension sejak tahun 2010.” HSBC berkata perkara yang sama.
Ini bermakna dokumen perumahan peribadi manusia melompat dari pelbagai syarikat, menukar tangan beberapa kali-dalam beberapa kes tanpa peminjam kewangan asal walaupun tahu– untuk akhirnya mendarat di laman web yang semua tetapi mengundang orang asing dalam.
Fool me dua kali, malu pada awak
Pendedahan seolah-olah seperti kes terbuka dan tertutup, kan? Malangnya tidak. Sehari selepas laporan awal, Diachenko menemui pelayan lain yang tidak selamat yang menempatkan fail yang sama. Pelayan ini sekali lagi tidak memasukkan kunci kata laluan, dan lebih buruk lagi, sebenarnya menyenaraikan semua dokumen sensitif dalam teks biasa.
Sekali lagi, ia semakin teruk. Fail-fail tersebut disimpan di pelayan storan Amazon S3, yang secara lalai membolehkan perlindungan kata laluan. Ini bermakna parti (atau pihak) bertanggungjawab untuk perumahan dokumen-dokumen peribadi ini secara sukarela menyahaktifkan tetapan perlindungan kata laluan.
Itu seperti menjaga semua wang anda di bawah tilam anda, secara fizikal menghilangkan pintu depan anda, dan kemudian bercuti selama seminggu!
OK, jika anda berfikir bahawa perkara-perkara boleh menjadi lebih teruk dengan kisah dokumen gadai janji yang kami pecah, anda salah. Saya dapati sebuah baldi awam terbuka BUKU S3 yang penuh dengan dokumen yang diimbas yang digunakan untuk OCR => Elasticsearch … @zackwhittaker akan memberitahu lebih dalam sebentar
– Bob Diachenko (@MayhemDayOne) 24 Januari 2023
Perlu diingat bahawa seperti cache pertama data, ini juga termasuk W-2 dan dokumen kewangan sensitif yang lain. Malangnya, tidak ada cara untuk mengetahui berapa lama maklumat ini terdedah, atau pihak mana yang melihatnya.
“Saya akan mengandaikan bahawa selepas publisiti seperti orang-orang ini, perkara pertama yang akan anda lakukan adalah memeriksa sama ada storan awan anda atau sekurang-kurangnya dilindungi kata laluan,” kata Diachenko..
Ternyata tidak.
Langkah-langkah untuk membantu mendapatkan maklumat anda
Walaupun ia adalah mustahil sekali bahawa tidak ada kemudaratan yang dilakukan, tidak ada salahnya untuk disiapkan. Jika anda tinggal di A.S. dan membeli sebuah rumah dalam dekad yang lalu, anda mungkin mahu mengambil beberapa minit untuk menyemak laporan kredit baru-baru ini untuk mengetahui sama ada terdapat perubahan besar.
Mengaktifkan pengesahan 2 faktor ke atas pelbagai akaun dalam talian anda juga disyorkan. Dengan menyediakan kaedah log masuk kedua, pihak ketiga tidak akan dapat log masuk ke dalam pelbagai akaun anda-walaupun mereka mempunyai semua maklumat anda.
Di samping itu, penting juga untuk menyemak semula mana-mana dan semua alamat e-mel sebelum anda membuka lampiran. Dengan keperibadian maklumat peribadi anda, peretas diketahui mengirimkan e-mel yang berniat jahat yang disamar sebagai syarikat terkemuka yang sering menyebut butiran tertentu (iaitu nama pengguna, kata laluan, dan sebagainya), dan kemudian mendesak penerima untuk menukar (atau mengesahkan) kata laluan mereka, buka lampiran, dan banyak lagi.
Jika anda tidak tahu penerima-atau jika e-mel secara automatik ditandakan sebagai mencurigakan-lebih baik untuk berhati-hati dengan pendekatan.
Walaupun kisah ini masih dalam perkembangan, ia berfungsi sebagai kisah peringatan untuk sentiasa membolehkan kata laluan dan tetapan keselamatan anda. Kerana anda tidak boleh mempercayai syarikat rawak untuk melindungi butiran peribadi anda, terpulang kepada anda untuk mengambil privasi anda ke tangan anda sendiri.