Los archivos confidenciales de miles de firmas consultoras británicas quedaron sin seguridad en la nube de Amazon, incluidos escaneos de pasaportes, solicitudes de empleo y documentos fiscales, según el equipo de investigación de vpnMentor.
En una publicación de blog, vpnMentor documentó cómo el equipo localizó una base de datos de bucket de Amazon Web Services (AWS) S3 etiquetada como "CHS".
Almacenar archivos de esta manera es popular, pero requiere que los usuarios implementen sus propios protocolos de seguridad, lo que no hicieron aquí.
VpnMentor rastreó la base de datos hasta una empresa de consultoría con sede en Londres llamada CHS Consulting, pero la empresa no tiene un sitio web, por lo que VpnMentor no pudo confirmar que CHS realmente sea el propietario de la base de datos.
Dentro de la base de datos había archivos que datan de 2011, aunque la mayoría eran de 2014 y 2015 y estaban vinculados a empresas ahora desaparecidas, incluidas Dynamic Partners, Garraway Consultants, Partners Associates Ltd y Winchester Ltd, así como Eximius Consultants Limited e IQ Consulting.
ambos todavía están en funcionamiento.
Además del pasaporte y la información fiscal, los documentos de la base de datos incluían comprobantes de domicilio, amplias verificaciones de antecedentes, antecedentes penales, formularios de gastos y beneficios, documentación relacionada con impuestos comerciales y HMRC (HM Revenue and Customs), contratos escaneados con firmas, información salarial, mensajes privados y un contrato para un préstamo.
Las personas nefastas podrían haber tenido acceso a miles de registros financieros de empresas, números de seguros nacionales, códigos de impuestos y más.
VpnMentor dice que "solo dos archivos de una sola empresa contenían una gama completa de PII [Personally Identifiable Information] datos."
La responsabilidad de esta violación de datos no recae en los pies de Amazon, incluso a través de la empresa que ejecuta el servidor.
Amazon proporciona instrucciones sobre cómo proteger los depósitos de S3, y están protegidos de forma predeterminada, por lo que hacer que los datos sean públicos suele ser un problema causado por el propietario de la cuenta.
Amazon aseguró o desconectó los datos, según Cableado, pero no revelaría qué empresa fue responsable de la falla, por lo que es imposible informarlo a la Oficina del Comisionado de Información, un organismo público del Reino Unido responsable de la protección de datos.
VpnMentor informó los datos al Centro Nacional de Seguridad Cibernética (NCSC), pero la agencia no respondió durante un mes porque el correo electrónico se envió a la carpeta de correo basura del NCSC, dicen Noam Rotem y Ran Locar, quienes dirigieron el equipo de investigación de vpnMentor.
Esta noticia es un recordatorio de que, no importa qué tan seguro mantenga su propia información, las empresas aún no cumplen con la debida diligencia.
Esta infracción más reciente es "probablemente una combinación de ignorancia y falta de responsabilidad; simplemente no les importa", dice Rotem.
