Più di 1.000 GB di dati e oltre 1,6 milioni di file provenienti da dozzine di comuni negli Stati Uniti sono stati lasciati esposti, secondo un nuovo rapporto di un team di ricercatori di sicurezza informatica con la società di sicurezza WizCase.
Tutte le città sembravano essere collegate tramite un unico prodotto: mapsonline.net, di proprietà di una società del Massachusetts chiamata PeopleGIS. L'azienda fornisce software di gestione delle informazioni ai governi locali in Massachusetts, New Hampshire e Connecticut.
Ata Hakçıl e il suo team hanno scoperto più di 80 bucket Amazon S3 mal configurati contenenti dati relativi a questi comuni. I dati spaziavano da registri residenziali come atti e informazioni fiscali a licenze commerciali e domande di lavoro per posizioni governative.
A causa della natura sensibile dei documenti, molti dei moduli includevano l'indirizzo e-mail delle persone, l'indirizzo fisico, il numero di telefono, il numero della patente di guida, le informazioni sulle tasse immobiliari, le fotografie della licenza e le foto della proprietà.
I ricercatori hanno condiviso foto censurate dei dati disponibili.
“I dati di questi comuni sono stati archiviati in diversi bucket Amazon S3 configurati in modo errato che condividevano convenzioni di denominazione simili a MapsOnline. Per questo motivo, riteniamo che queste città utilizzino la stessa soluzione software”, afferma il rapporto.
“Il nostro team ha contattato l'azienda e da allora i secchi sono stati assicurati.”
Non tutti i comuni avevano le stesse informazioni esposte e il rapporto affermava che i tipi di file trapelati variavano. I ricercatori non sono stati in grado di fornire una stima del numero di persone colpite dall'esposizione a causa della varietà delle forme.
La società di sicurezza ha distribuito uno scanner che ha trovato 114 Amazon Bucket collegati a PeopleGIS e denominati in modo simile. Secondo il rapporto, 28 sono stati configurati correttamente mentre “86 erano accessibili senza alcuna password né crittografia”.
I ricercatori non avevano una ragione definitiva per cui alcuni bucket fossero adeguatamente protetti e altri no.
Hanno suggerito che PeopleGIS semplicemente “creasse e consegnasse i bucket ai propri clienti (tutti i comuni) e alcuni di loro si assicuravano che fossero configurati correttamente”.
Un'altra teoria riguardava una potenziale situazione in cui diversi dipendenti di PeopleGIS — senza linee guida chiare — creato e configurato ogni bucket.
La terza teoria era che i comuni stessi abbiano creato i bucket con le linee guida di base di PeopleGIS “sul formato di denominazione ma senza linee guida relative alla configurazione”.
I ricercatori hanno affermato che questo “spiegherebbe la differenza tra i comuni i cui dipendenti lo sapevano o meno.”
“La violazione potrebbe portare a massicce frodi e furti da parte dei cittadini di quei comuni. La natura altamente sensibile di i dati contenuti nel database di un governo locale, dai numeri di telefono alle licenze commerciali ai registri fiscali, sono altamente suscettibili di sfruttamento da parte di cattivi attori”, afferma il rapporto.
“Molte di queste informazioni dovrebbero essere accessibili solo al governo e ai cittadini, il che significa che qualcuno potrebbe potenzialmente frodare un individuo fingendosi un funzionario governativo.”
PeopleGIS non ha risposto alle richieste di commento.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Security CXO Innovation Smart Cities 