Tusentals oskyddade passskanningar hittades online

Känsliga filer från tusentals brittiska konsultföretag lämnades oskyddade i Amazons moln, inklusive passskanningar, jobbansökningar och skattedokument, enligt forskargruppen från vpnMentor.

I ett blogginlägg dokumenterade vpnMentor hur teamet hittade en Amazon Web Services (AWS) S3-skopdatabas märkt "CHS." Att lagra filer på det här sättet är populärt, men det kräver att användare implementerar sina egna säkerhetsprotokoll, vilket de inte gjorde här.

VpnMentor spårade databasen till ett London-baserat konsultföretag som heter CHS Consulting, men företaget har ingen webbplats, så VpnMentor kunde inte bekräfta att CHS faktiskt äger databasen.

Inuti databasen fanns filer från 2011, även om de flesta var från 2014 och 2015 och länkade till nu nedlagda företag, inklusive Dynamic Partners, Garraway Consultants, Partners Associates Ltd och Winchester Ltd, samt Eximius Consultants Limited och IQ Consulting, båda fungerar fortfarande.

Förutom pass- och skatteinformation innehöll dokument i databasen adressbevis, omfattande bakgrundskontroller, kriminalregister, utgifts- och förmåner, pappersarbete relaterade till företagsskatter och HMRC (HM intäkter och tullar), skannade kontrakt med signaturer, löneinformation, privata meddelanden och ett låneavtal.

Olyckliga individer kunde potentiellt ha haft tillgång till tusentals företags finansiella register, nationella försäkringsnummer, skattekoder och mer.

VpnMentor säger "bara två filer från ett enda företag innehöll ett komplett sortiment av PII [Personally Identifiable Information] data."

Ansvaret för detta dataintrång faller inte på Amazons fötter, inte ens genom att företaget driver servern.

Amazon ger instruktioner om hur man skyddar S3-hinkar, och de är säkrade som standard, så att publicera data är vanligtvis ett problem som orsakas av kontoägaren.

Amazon säkrade eller tog data offline, enligt Trådbunden, men det skulle inte avslöja vilket företag som var ansvarigt för felet, så det är omöjligt att rapportera det till Information Commissioner's Office, ett brittiskt offentligt organ som ansvarar för dataskyddet.

VpnMentor rapporterade uppgifterna till National Cyber ??Security Center (NCSC), men byrån svarade inte på en månad eftersom e-postmeddelandet skickades till NCSC: s skräppostmapp, säger Noam Rotem och Ran Locar, som ledde vpnMentors forskargrupp.

Sådana nyheter är en påminnelse om att företag, oavsett hur säkert du behåller din egen information, fortfarande inte gör sin due diligence.

Denna senaste överträdelse är "förmodligen en kombination av okunnighet och brist på ansvarsskyldighet - de bryr sig helt enkelt inte", säger Rotem.

Känsliga filer från tusentals brittiska konsultföretag lämnades oskyddade i Amazons moln, inklusive passskanningar, jobbansökningar och skattedokument, enligt forskargruppen från vpnMentor.

I ett blogginlägg dokumenterade vpnMentor hur teamet hittade en Amazon Web Services (AWS) S3-skopdatabas märkt "CHS." Att lagra filer på det här sättet är populärt, men det kräver att användare implementerar sina egna säkerhetsprotokoll, vilket de inte gjorde här.

VpnMentor spårade databasen till ett London-baserat konsultföretag som heter CHS Consulting, men företaget har ingen webbplats, så VpnMentor kunde inte bekräfta att CHS faktiskt äger databasen.

Inuti databasen fanns filer från 2011, även om de flesta var från 2014 och 2015 och länkade till nu nedlagda företag, inklusive Dynamic Partners, Garraway Consultants, Partners Associates Ltd och Winchester Ltd, samt Eximius Consultants Limited och IQ Consulting, båda fungerar fortfarande.

Förutom pass- och skatteinformation innehöll dokument i databasen adressbevis, omfattande bakgrundskontroller, kriminalregister, utgifts- och förmåner, pappersarbete relaterade till företagsskatter och HMRC (HM intäkter och tullar), skannade kontrakt med signaturer, löneinformation, privata meddelanden och ett låneavtal.

Olyckliga individer kunde potentiellt ha haft tillgång till tusentals företags finansiella register, nationella försäkringsnummer, skattekoder och mer.

VpnMentor säger "bara två filer från ett enda företag innehöll ett komplett sortiment av PII [Personally Identifiable Information] data."

Ansvaret för detta dataintrång faller inte på Amazons fötter, inte ens genom att företaget driver servern.

Amazon ger instruktioner om hur man skyddar S3-hinkar, och de är säkrade som standard, så att publicera data är vanligtvis ett problem som orsakas av kontoägaren.

Amazon säkrade eller tog data offline, enligt Trådbunden, men det skulle inte avslöja vilket företag som var ansvarigt för felet, så det är omöjligt att rapportera det till Information Commissioner's Office, ett brittiskt offentligt organ som ansvarar för dataskyddet.

VpnMentor rapporterade uppgifterna till National Cyber ??Security Center (NCSC), men byrån svarade inte på en månad eftersom e-postmeddelandet skickades till NCSC: s skräppostmapp, säger Noam Rotem och Ran Locar, som ledde vpnMentors forskargrupp.

Sådana nyheter är en påminnelse om att företag, oavsett hur säkert du behåller din egen information, fortfarande inte gör sin due diligence.

Denna senaste överträdelse är "förmodligen en kombination av okunnighet och brist på ansvarsskyldighet - de bryr sig helt enkelt inte", säger Rotem.