Diefstal van identiteit bij geboorte: 752.000 aanvragen voor kopieën van geboortecertificaten werden online blootgesteld

Of we het nu leuk vinden of niet, online bedrijven in alle soorten en maten verwerken enorme hoeveelheden persoonlijke gegevens. Enigszins voorspelbaar doen ze het niet altijd zo goed. Eerder deze maand ontdekten bijvoorbeeld penetratietestspecialisten van Fidus Information Security een Amazon Web Services (AWS) -opslagemmer met een voorraad documenten die niet openbaar zouden moeten zijn. De betreffende bucket was overal ter wereld toegankelijk en werd niet beschermd door een wachtwoord. De deskundigen deelden hun bevindingen met TechCrunch Zack Whittaker, die bevestigde de geldigheid van de informatie en ontdekt dat sommige van de documenten gedateerd terug naar 2017. Nog verontrustender, kwam hij erachter dat er iemand was bezig nieuwe gegevens in de emmer op een dagelijkse basis. Dit is wat ze precies onthulden.

Aanvragen voor kopieën van geboorte- en overlijdenscertificaten werden achtergelaten in een onbeveiligde AWS-emmer

Amerikaanse burgers die een kopie van hun geboorteakte nodig hebben, kunnen deze persoonlijk aanvragen bij een overheidsinstelling in hun staat, of ze kunnen gebruikmaken van de diensten van een online bedrijf dat de aanvragen van mensen verwerkt en als tussenpersoon optreedt. Eén zo'n bedrijf kreeg de opdracht om minstens 752 duizend aanvragen te behandelen. Het plaatste ze allemaal in de eerder genoemde onbeveiligde AWS-emmer. De emmer bevatte ook iets meer dan 90 duizend aanvragen voor overlijdenscertificaten, hoewel het downloaden van die onmogelijk was, volgens het rapport van Whittaker.

Hoewel de werkelijke geboortecertificaten niet werden vrijgegeven, waren de aanvragen voor hen nog steeds vol met persoonlijke informatie. De details varieerden van staat tot staat, maar zoals je zou verwachten, was de belichting niet onbelangrijk. Enkele van de door Whittaker beoordeelde gegevens omvatten:

• namen
• Geboortedata
• Fysieke adressen
• E-mailadressen
• Namen van familieleden
• Vorige thuisadressen

Kortom, de emmer is de droom van een identiteitsdief. Geloof het of niet, dit is echter niet het grootste probleem.

Amazon weigert de emmer neer te halen en de eigenaar reageert niet

We kunnen vrij lang praten over hoe dit de volgende is in een zeer lange rij verkeerd geconfigureerde AWS-emmers die persoonlijke gegevens van duizenden nietsvermoedende personen lekken, maar degenen onder u die het nieuws hebben gevolgd, weten alles van het probleem. In dit specifieke geval is het grootste probleem de reactie van de mensen die verantwoordelijk zijn voor het beveiligen van de gegevens. Meer precies, het probleem ligt bij het ontbreken van een dergelijke reactie.

De onderzoekers van Whittaker en Fidus hadden geen problemen om uit te zoeken wie verantwoordelijk was voor het lek. Toen ze echter probeerden contact op te nemen met het betreffende bedrijf, kregen ze alleen een verzameling geautomatiseerde e-mails. Ze namen vervolgens contact op met Amazon, maar in plaats van snel te handelen om het lek te stoppen, zei een van 's werelds grootste cloudopslagproviders gewoon dat het ook de eigenaar van de bucket op de hoogte zou brengen. Als gevolg hiervan bleven de gegevens toegankelijk voor iedereen die toegang heeft tot het webadres, wat volgens Whittaker niet erg moeilijk te raden is.

Omdat de emmer open bleef, besloot Whittaker de honderdduizenden mensen te beschermen die door het lek waren getroffen, en hij noemde de eigenaar niet in zijn rapport. Hoewel de dader onbekend blijft voor het publiek, moet het hele verhaal een les voor iedereen zijn. Het moet een les zijn, niet alleen over hoe belangrijk de beveiliging van AWS-opslagemmers is, maar ook over hoe niet te reageren op meldingen van een significant datalek.