Mere end 1.000 GB data og over 1,6 millioner filer fra snesevis af kommuner i USA blev efterladt udsat, ifølge en ny rapport fra et team af cybersikkerhedsforskere med sikkerhedsfirmaet WizCase.
Alle byer syntes at være forbundet via et produkt: mapsonline.net, som ejes af et Massachusetts-firma kaldet PeopleGIS. Virksomheden leverer informationsstyringssoftware til lokale regeringer i Massachusetts, New Hampshire og Connecticut.
Ata Hakçıl og hans team opdagede mere end 80 forkert konfigurerede Amazon S3 spande, der indeholdt data relateret til disse kommuner. Dataene varierede fra boligregistreringer som gerninger og skatteoplysninger til forretningstilladelser og jobansøgninger til statslige stillinger.
På grund af dokumenternes følsomme karakter omfattede mange af formularerne folks e-mail-adresse, fysisk adresse, telefonnummer, kørekortnummer, ejendomsskatteoplysninger, licensfotografier og fotos af ejendom.
Forskerne delte redakterede fotos af de tilgængelige data.
“Dataene fra disse kommuner blev gemt i flere forkert konfigurerede Amazon S3-skovle, der delte lignende navngivningskonventioner til MapsOnline. På grund af dette mener vi, at disse byer bruger den samme softwareløsning,” sagde rapporten.
“Vores team nåede ud til virksomheden, og skovle er siden blevet sikret.”
Ikke alle kommuner havde de samme oplysninger eksponeret, og rapporten sagde, at de typer filer, der lækkede, varierede. Forskerne var ikke i stand til at give et skøn over antallet af mennesker, der blev påvirket af eksponeringen på grund af, hvor forskellige formerne var.
Sikkerhedsfirmaet indsatte en scanner, der fandt 114 Amazon-skovle forbundet med PeopleGIS og navngivet lignende. Ifølge rapporten blev 28 konfigureret korrekt, mens “86 var tilgængelige uden adgangskode eller kryptering.”
Forskerne havde ikke en endelig grund til, hvorfor nogle spande var ordentligt sikret, og andre ikke var.
De foreslog, at PeopleGIS simpelthen “oprettede og overleverede skovle til deres kunder (alle kommuner), og nogle af dem sørgede for, at disse var ordentligt konfigureret.”
En anden teori involverede en potentiel situation, hvor forskellige medarbejdere på PeopleGIS. – uden klare retningslinjer – oprettet og konfigureret hver spand.
Den tredje teori var, at kommunerne selv skabte spande med grundlæggende retningslinjer fra PeopleGIS “om navngivningsformatet, men uden nogen retningslinjer for konfigurationen.”
Forskerne sagde, at dette “ville forklare forskellen mellem de kommuner, hvis medarbejdere vidste om det eller ej.”
“Overtrædelsen kunne føre til massiv svindel og tyveri fra borgere i disse kommuner. dataene indeholdt i en lokal regerings database, fra telefonnumre til forretningslicenser til skatteregistreringer, er meget modtagelige for udnyttelse af dårlige aktører, “hedder det i rapporten.
“Meget af denne information formodes kun at være tilgængelig af regeringen og borgerne, hvilket betyder, at nogen potentielt kunne bedrage en person ved at stille sig som en embedsmand.”
PeopleGIS reagerede ikke på anmodninger om kommentar.
Sikkerhed
Kaseya ransomware angreb: Hvad du har brug for at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv De bedste antivirussoftware og -apps De bedste VPN'er til forretnings- og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Sikkerhed CXO Innovation Smart Cities 