Tusinder af usikrede passcanninger fundet online

Følsomme filer fra tusindvis af britiske konsulentfirmaer blev efterladt usikrede i Amazons sky, herunder passcanninger, jobansøgninger og skattedokumenter, ifølge forskerholdet fra vpnMentor.

I et blogindlæg dokumenterede vpnMentor, hvordan holdet fandt en Amazon Web Services (AWS) S3 bucket-database mærket "CHS." Opbevaring af filer på denne måde er populær, men det kræver, at brugerne implementerer deres egne sikkerhedsprotokoller, hvilket de ikke gjorde her.

VpnMentor spores databasen til et London-baseret konsulentfirma kaldet CHS Consulting, men virksomheden har ikke et websted, så VpnMentor kunne ikke bekræfte, at CHS faktisk ejer databasen.

Inde i databasen var filer, der dateres tilbage til 2011, skønt de fleste var fra 2014 og 2015 og knyttet til nu nedlagte virksomheder, herunder Dynamic Partners, Garraway Consultants, Partners Associates Ltd og Winchester Ltd samt Eximius Consultants Limited og IQ Consulting, begge fungerer stadig.

Foruden pas- og skatteoplysninger indeholdt dokumenter i databasen adressebeviser, omfattende baggrundskontrol, strafferegistre, udgifts- og fordelsformularer, papirarbejde relateret til forretningsskatter og HMRC (HM indtægter og told), scannede kontrakter med underskrifter, lønoplysninger, private beskeder og en kontrakt om et lån.

Ulykkelige individer kunne potentielt have haft adgang til tusindvis af virksomheders økonomiske poster, nationale forsikringsnumre, skattekoder og mere.

VpnMentor siger "kun to filer fra et enkelt firma indeholdt et komplet sortiment af PII [Personally Identifiable Information] data."

Ansvaret for dette databrud falder ikke for Amazons fødder, selv gennem virksomheden driver serveren.

Amazon giver instruktioner om, hvordan man sikrer S3-skovle, og de er sikret som standard, så offentliggørelse af data er normalt et problem forårsaget af kontoejeren.

Ifølge Amazon sikrede eller tog dataene offline Kablet, men det afslører ikke, hvilket firma der var ansvarlig for fejlen, så det er umuligt at rapportere det til Information Commissioner's Office, et britisk offentligt organ, der er ansvarlig for databeskyttelse.

VpnMentor rapporterede dataene til National Cyber ??Security Center (NCSC), men agenturet reagerede ikke i en måned, fordi e-mailen blev sendt til NCSC's junk mail-mappe, siger Noam Rotem og Ran Locar, der ledede vpnMentors forskerteam.

Sådanne nyheder er en påmindelse om, at uanset hvor sikker du opbevarer dine egne oplysninger, undlader virksomheder stadig at udføre deres due diligence.

Denne seneste overtrædelse er "sandsynligvis en kombination af uvidenhed og manglende ansvarlighed - de er simpelthen ligeglade," siger Rotem.

Følsomme filer fra tusindvis af britiske konsulentfirmaer blev efterladt usikrede i Amazons sky, herunder passcanninger, jobansøgninger og skattedokumenter, ifølge forskerholdet fra vpnMentor.

I et blogindlæg dokumenterede vpnMentor, hvordan holdet fandt en Amazon Web Services (AWS) S3 bucket-database mærket "CHS." Opbevaring af filer på denne måde er populær, men det kræver, at brugerne implementerer deres egne sikkerhedsprotokoller, hvilket de ikke gjorde her.

VpnMentor spores databasen til et London-baseret konsulentfirma kaldet CHS Consulting, men virksomheden har ikke et websted, så VpnMentor kunne ikke bekræfte, at CHS faktisk ejer databasen.

Inde i databasen var filer, der dateres tilbage til 2011, skønt de fleste var fra 2014 og 2015 og knyttet til nu nedlagte virksomheder, herunder Dynamic Partners, Garraway Consultants, Partners Associates Ltd og Winchester Ltd samt Eximius Consultants Limited og IQ Consulting, begge fungerer stadig.

Foruden pas- og skatteoplysninger indeholdt dokumenter i databasen adressebeviser, omfattende baggrundskontrol, strafferegistre, udgifts- og fordelsformularer, papirarbejde relateret til forretningsskatter og HMRC (HM indtægter og told), scannede kontrakter med underskrifter, lønoplysninger, private beskeder og en kontrakt om et lån.

Ulykkelige individer kunne potentielt have haft adgang til tusindvis af virksomheders økonomiske poster, nationale forsikringsnumre, skattekoder og mere.

VpnMentor siger "kun to filer fra et enkelt firma indeholdt et komplet sortiment af PII [Personally Identifiable Information] data."

Ansvaret for dette databrud falder ikke for Amazons fødder, selv gennem virksomheden driver serveren.

Amazon giver instruktioner om, hvordan man sikrer S3-skovle, og de er sikret som standard, så offentliggørelse af data er normalt et problem forårsaget af kontoejeren.

Ifølge Amazon sikrede eller tog dataene offline Kablet, men det afslører ikke, hvilket firma der var ansvarlig for fejlen, så det er umuligt at rapportere det til Information Commissioner's Office, et britisk offentligt organ, der er ansvarlig for databeskyttelse.

VpnMentor rapporterede dataene til National Cyber ??Security Center (NCSC), men agenturet reagerede ikke i en måned, fordi e-mailen blev sendt til NCSC's junk mail-mappe, siger Noam Rotem og Ran Locar, der ledede vpnMentors forskerteam.

Sådanne nyheder er en påmindelse om, at uanset hvor sikker du opbevarer dine egne oplysninger, undlader virksomheder stadig at udføre deres due diligence.

Denne seneste overtrædelse er "sandsynligvis en kombination af uvidenhed og manglende ansvarlighed - de er simpelthen ligeglade," siger Rotem.