Niechroniony serwer wyciekł 24 miliony poufnych dokumentów mieszkaniowych nie raz, ale dwa razy

Ogromne dokumenty narażone na wyciek z obudowy


Jeśli mieszkasz w USA i kupiłeś dom w ciągu ostatniej dekady, Twoje informacje mogą być zagrożone. Według TechCrunch ujawniono ponad 24 miliony dokumentów hipotecznych i bankowych nie raz, ale dwa razy.

Ujawnione informacje obejmowały umowy o kredyt hipoteczny, harmonogramy płatności, numery telefonów kredytobiorców i inne poufne dane finansowe.

Sprawca? Pojedynczy niezabezpieczony serwer. Jeśli uważasz, że to źle, robi się coraz gorzej: oprócz przechowywania milionów poufnych dokumentów, serwer nie zawierał nawet hasła.

Innymi słowy, ta informacja była dostępna dla każdego, kto miał pięć sekund na otwarcie przeglądarki i wpisanie adresu URL.

Pozostawienie kosztowności w środku przy odblokowanych drzwiach wejściowych

Dokumenty te były przechowywane przez Ascension, firmę zewnętrzną zajmującą się danymi i analizą. W publicznym poście na blogu ekspert infosec Bob Diachenko, który jako pierwszy odkrył serwer publiczny, stwierdził, że ponad 24 miliony rekordów jest ogólnie dostępnych.

Rekordy, które sięgają ponad dekady, zawierały aż 51 GB danych OCR (optyczne rozpoznawanie znaków). Chociaż tego typu tekst jest czytelny gołym okiem, można go łatwo przeanalizować, aby ujawnić prywatne szczegóły.

„Ta informacja byłaby kopalnią złota dla cyberprzestępców, którzy mieliby wszystko, czego potrzebowali do kradzieży tożsamości, składania fałszywych deklaracji podatkowych, otrzymywania pożyczek lub kart kredytowych” – napisał Diachenko.

Kredytodawcy nie mieli pojęcia, że ​​te dokumenty istnieją

Odsłonięty serwer zawierał dziesiątki tysięcy dokumentów finansowych z różnych banków i instytucji, w tym Wells Fargo, Capital One, HSBC Life Insurance, CitiFinancial i innych. Chociaż informacje były nieco zakodowane, stosunkowo łatwo było je zrekonstruować – zwłaszcza jeśli dana osoba miała użyć odpowiednich narzędzi.

Ale oto kicker: większość banków odnotowała, że ​​nie ma powiązań z Wniebowstąpieniem. W rzeczywistości Wells Fargo stwierdził, że „od 2010 r. Nie ma żadnych relacji z Ascension.” HSBC powiedział to samo..

Oznacza to, że osobiste dokumenty mieszkaniowe ludzi przeskakiwały z różnych firm, wielokrotnie zmieniając ręce – w niektórych przypadkach bez wiedzy pierwotnego pożyczkodawcy finansowego– aby ostatecznie znaleźć się na stronie internetowej, na której wszyscy oprócz zaproszonych nieznajomych.

Oszukaj mnie dwa razy, wstydź się

Ekspozycja wydaje się być otwartą i zamkniętą skrzynią, prawda? Niestety nie. Dzień po pierwszym raporcie Diachenko znalazł kolejny niezabezpieczony serwer, w którym znajdowały się te same pliki. Ten serwer ponownie nie zawierał blokady hasła, a co gorsza, w rzeczywistości wyświetlał wszystkie poufne dokumenty w postaci zwykłego tekstu.

Znowu jest coraz gorzej. Pliki były przechowywane na serwerze pamięci Amazon S3, który domyślnie włącza ochronę hasłem. Oznacza to, że strona (lub strony) odpowiedzialne za przechowywanie tych dokumentów osobistych dobrowolnie dezaktywowały ustawienia ochrony hasłem.

To tak, jakby trzymać wszystkie pieniądze pod materacem, fizycznie zdejmować drzwi wejściowe, a następnie wyjeżdżać na tygodniowe wakacje!

OK, jeśli pomyślałeś, że sytuacja może się pogorszyć z tą historią dokumentów hipotecznych, którą zepsuliśmy, mylisz się. Znalazłem publicznie OPEN S3 pojemnik pełen zeskanowanych dokumentów, które były używane dla OCR => Elasticsearch… @zackwhittaker powie więcej za sekundę

– Bob Diachenko (@MayhemDayOne) 24 stycznia 2019 r

Warto zauważyć, że podobnie jak pierwsza pamięć podręczna danych, ta również zawierała W-2 i inne poufne dokumenty finansowe. Niestety nie ma też sposobu, aby określić, jak długo te informacje były ujawniane lub które strony je oglądały.

„Zakładałbym, że po takim rozgłosie jak ci faceci, pierwszą rzeczą, którą powinieneś zrobić, to sprawdzić, czy pamięć w chmurze nie działa, czy przynajmniej jest chroniona hasłem”, powiedział Diachenko.

Najwyraźniej nie.

Kroki, które pomogą zabezpieczyć twoje informacje

Chociaż jest całkiem możliwe, że nie wyrządzono żadnej szkody, nigdy nie zaszkodzi być przygotowanym. Jeśli mieszkasz w USA i kupiłeś dom w ostatnim dziesięcioleciu, możesz poświęcić kilka minut na przejrzenie swoich ostatnich raportów kredytowych, aby sprawdzić, czy są jakieś poważne zmiany.

Zalecane jest również włączenie uwierzytelniania dwuskładnikowego na różnych kontach internetowych. Po skonfigurowaniu drugiej metody logowania osoby trzecie nie będą mogły logować się na różne konta – nawet jeśli mają wszystkie informacje.

Ponadto ważne jest, aby dokładnie sprawdzić wszystkie adresy e-mail przed otwarciem załącznika. Dzięki dostępnym fragmentom danych osobowych hakerzy są w stanie wysyłać złośliwe wiadomości e-mail w przebraniu renomowanej firmy, które często wspominają określone szczegóły (np. Nazwę użytkownika, hasło itp.), A następnie zachęcają odbiorcę do zmiany (lub potwierdzenia) hasło, otwórz załącznik i nie tylko.

Jeśli nie znasz odbiorcy lub jeśli wiadomość e-mail jest automatycznie oznaczana jako podejrzana, najlepiej podejść ostrożnie.

Chociaż ta historia jest wciąż w fazie rozwoju, służy ona jako przestroga, aby zawsze włączać hasło i ustawienia zabezpieczeń. Ponieważ nie możesz ufać przypadkowej firmie, która chroni twoje dane osobowe, od Ciebie zależy, czy weźmiesz prywatność w swoje ręce.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map