Laut dem Forschungsteam von vpnMentor wurden vertrauliche Dateien von Tausenden britischer Beratungsunternehmen in der Amazon-Cloud ungesichert gelassen, darunter Pass-Scans, Bewerbungen und Steuerdokumente.
In einem Blogbeitrag dokumentierte vpnMentor, wie das Team eine Amazon Web Services (AWS) S3-Bucket-Datenbank mit der Bezeichnung "CHS" gefunden hat.
Das Speichern von Dateien auf diese Weise ist beliebt, erfordert jedoch, dass Benutzer ihre eigenen Sicherheitsprotokolle implementieren, was sie hier nicht getan haben.
VpnMentor hat die Datenbank auf eine in London ansässige Beratungsfirma namens CHS Consulting zurückgeführt, aber das Unternehmen hat keine Website, sodass VpnMentor nicht bestätigen konnte, dass CHS die Datenbank tatsächlich besitzt.
In der Datenbank befanden sich Dateien aus dem Jahr 2011, obwohl die meisten aus den Jahren 2014 und 2015 stammten und mit inzwischen aufgelösten Unternehmen wie Dynamic Partners, Garraway Consultants, Partners Associates Ltd und Winchester Ltd sowie Eximius Consultants Limited und IQ Consulting verknüpft waren.
beide sind noch in Betrieb.
Zu den Dokumenten in der Datenbank gehörten neben Pass- und Steuerinformationen auch Adressnachweise, umfangreiche Hintergrundprüfungen, Strafregister, Formulare für Ausgaben und Leistungen, Unterlagen im Zusammenhang mit Unternehmenssteuern und HMRC (HM Revenue and Customs), gescannte Verträge mit Unterschriften, Gehaltsinformationen, privaten Nachrichten und einem Vertrag für einen Kredit.
Schändliche Personen könnten möglicherweise Zugang zu Finanzunterlagen, Sozialversicherungsnummern, Steuercodes und vielem mehr von Tausenden von Unternehmen gehabt haben.
Laut VpnMentor enthielten "nur zwei Dateien einer einzelnen Firma eine vollständige Palette von PII [Personally Identifiable Information] Daten."
Die Verantwortung für diese Datenverletzung liegt Amazon nicht zu Füßen, selbst wenn das Unternehmen den Server betreibt.
Amazon bietet Anweisungen zum Sichern von S3-Buckets.
Diese sind standardmäßig gesichert.
Daher ist das Veröffentlichen der Daten in der Regel ein Problem, das vom Kontoinhaber verursacht wird.
Laut Amazon hat Amazon die Daten gesichert oder offline geschaltet VerdrahtetDa jedoch nicht bekannt ist, welches Unternehmen für den Fehler verantwortlich war, ist es unmöglich, ihn dem Information Commissioner's Office, einer für den Datenschutz zuständigen öffentlichen Einrichtung des Vereinigten Königreichs, zu melden.
VpnMentor meldete die Daten an das National Cyber ??Security Center (NCSC), aber die Agentur antwortete einen Monat lang nicht, da die E-Mail an den Junk-Mail-Ordner des NCSC gesendet wurde, sagen Noam Rotem und Ran Locar, die das Forschungsteam von vpnMentor leiteten.
Solche Nachrichten erinnern daran, dass Unternehmen, unabhängig davon, wie sicher Sie Ihre eigenen Informationen aufbewahren, ihre Due Diligence immer noch nicht durchführen.
Dieser jüngste Verstoß ist "wahrscheinlich eine Kombination aus Ignoranz und mangelnder Rechenschaftspflicht - es ist ihnen einfach egal", sagt Rotem.
