Veebist leitud tuhandeid turvata passide skaneeringuid

Tuhandete Suurbritannia konsultatsioonifirmade tundlikud failid jäid Amazoni pilve turvata, sealhulgas passide skannimine, tööpakkumised ja maksudokumendid, teatas vpnMentori uurimisrühm.

Oma ajaveebipostituses dokumenteeris vpnMentor, kuidas meeskond leidis Amazon Web Services (AWS) S3 ämber andmebaasi sildiga "CHS".

Sellisel viisil failide salvestamine on populaarne, kuid see nõuab, et kasutajad rakendaksid oma turvaprotokolle, mida nad siin ei teinud.

VpnMentor jälgis andmebaasi Londonis asuva konsultatsioonifirma nimega CHS Consulting, kuid ettevõttel pole veebisaiti, mistõttu VpnMentor ei saanud kinnitada, et andmebaas tegelikult CHS-il on.

Andmebaasis olid failid, mis pärinevad aastast 2011, kuigi enamik neist olid pärit 2014.

ja 2015.

aastast ning olid seotud nüüdseks juba lõpetanud ettevõtetega, sealhulgas Dynamic Partners, Garraway Consultants, Partners Associates Ltd ja Winchester Ltd, samuti Eximius Consultants Limited ja IQ Consulting, mõlemad toimivad siiani.

Lisaks passi- ja maksuteabele sisaldasid andmebaasis olevad dokumendid aadressi tõendeid, ulatuslikke taustakontrolle, karistusregistrite, kulude ja hüvitiste vorme, ettevõtlusmaksude ja HMRC-ga seotud pabereid (HM tulud ja toll), skannitud lepingud allkirjade, palgateabe, privaatsõnumite ja ühe laenulepinguga.

Alatutel isikutel oleks potentsiaalselt olnud juurdepääs tuhandete ettevõtete finantsdokumentidele, riiklikele kindlustusnumbritele, maksukoodidele ja muule.

VpnMentor ütleb, et "ainult kaks ühe ettevõtte faili sisaldasid kõiki PII-sid [Personally Identifiable Information] andmed.

"

Selle andmerikkumise eest vastutus ei lange Amazoni jalgadel, isegi kui ettevõte serverit haldab.

Amazon annab S3 ämbrite turvamise juhised ja vaikimisi on need turvatud, nii et andmete avalikuks muutmine on tavaliselt konto omaniku põhjustatud probleem.

Amazon kinnitas andmed või viis need võrguühenduseta Ühendatud, kuid see ei paljastaks, milline ettevõte oli süü eest vastutav, mistõttu on võimatu sellest teatada andmekaitse eest vastutavale Ühendkuningriigi avalikule asutusele Information Commissioner's Office.

VpnMentor edastas andmed riiklikule küberturvalisuse keskusele (NCSC), kuid agentuur ei vastanud kuu aega, kuna kiri saadeti NCSC rämpsposti kausta, ütlevad Noam Rotem ja Ran Locar, kes juhtisid vpnMentori uurimisrühma.

Sellised uudised on meeldetuletus, et hoolimata sellest, kui turvaliselt te ise oma teavet hoiate, jätavad ettevõtted oma hoolsuskohustuse täitmata.

See viimane rikkumine on "tõenäoliselt teadmatuse ja vastutuse puudumise kombinatsioon - neid lihtsalt ei huvita," ütleb Rotem.

Tuhandete Suurbritannia konsultatsioonifirmade tundlikud failid jäid Amazoni pilve turvata, sealhulgas passide skannimine, tööpakkumised ja maksudokumendid, teatas vpnMentori uurimisrühm.

Oma ajaveebipostituses dokumenteeris vpnMentor, kuidas meeskond leidis Amazon Web Services (AWS) S3 ämber andmebaasi sildiga "CHS".

Sellisel viisil failide salvestamine on populaarne, kuid see nõuab, et kasutajad rakendaksid oma turvaprotokolle, mida nad siin ei teinud.

VpnMentor jälgis andmebaasi Londonis asuva konsultatsioonifirma nimega CHS Consulting, kuid ettevõttel pole veebisaiti, mistõttu VpnMentor ei saanud kinnitada, et andmebaas tegelikult CHS-il on.

Andmebaasis olid failid, mis pärinevad aastast 2011, kuigi enamik neist olid pärit 2014.

ja 2015.

aastast ning olid seotud nüüdseks juba lõpetanud ettevõtetega, sealhulgas Dynamic Partners, Garraway Consultants, Partners Associates Ltd ja Winchester Ltd, samuti Eximius Consultants Limited ja IQ Consulting, mõlemad toimivad siiani.

Lisaks passi- ja maksuteabele sisaldasid andmebaasis olevad dokumendid aadressi tõendeid, ulatuslikke taustakontrolle, karistusregistrite, kulude ja hüvitiste vorme, ettevõtlusmaksude ja HMRC-ga seotud pabereid (HM tulud ja toll), skannitud lepingud allkirjade, palgateabe, privaatsõnumite ja ühe laenulepinguga.

Alatutel isikutel oleks potentsiaalselt olnud juurdepääs tuhandete ettevõtete finantsdokumentidele, riiklikele kindlustusnumbritele, maksukoodidele ja muule.

VpnMentor ütleb, et "ainult kaks ühe ettevõtte faili sisaldasid kõiki PII-sid [Personally Identifiable Information] andmed.

"

Selle andmerikkumise eest vastutus ei lange Amazoni jalgadel, isegi kui ettevõte serverit haldab.

Amazon annab S3 ämbrite turvamise juhised ja vaikimisi on need turvatud, nii et andmete avalikuks muutmine on tavaliselt konto omaniku põhjustatud probleem.

Amazon kinnitas andmed või viis need võrguühenduseta Ühendatud, kuid see ei paljastaks, milline ettevõte oli süü eest vastutav, mistõttu on võimatu sellest teatada andmekaitse eest vastutavale Ühendkuningriigi avalikule asutusele Information Commissioner's Office.

VpnMentor edastas andmed riiklikule küberturvalisuse keskusele (NCSC), kuid agentuur ei vastanud kuu aega, kuna kiri saadeti NCSC rämpsposti kausta, ütlevad Noam Rotem ja Ran Locar, kes juhtisid vpnMentori uurimisrühma.

Sellised uudised on meeldetuletus, et hoolimata sellest, kui turvaliselt te ise oma teavet hoiate, jätavad ettevõtted oma hoolsuskohustuse täitmata.

See viimane rikkumine on "tõenäoliselt teadmatuse ja vastutuse puudumise kombinatsioon - neid lihtsalt ei huvita," ütleb Rotem.