Laut einem neuen Bericht eines Teams von Cybersicherheitsforschern des Sicherheitsunternehmens WizCase wurden mehr als 1.000 GB Daten und über 1,6 Millionen Dateien aus Dutzenden von Gemeinden in den USA offengelegt.
Alle Städte schienen über ein Produkt verbunden zu sein: mapsonline.net, das einem Unternehmen aus Massachusetts namens PeopleGIS gehört. Das Unternehmen stellt Kommunalverwaltungen in Massachusetts, New Hampshire und Connecticut Informationsmanagement-Software zur Verfügung.
Ata Hakçıl und sein Team entdeckten mehr als 80 falsch konfigurierte Amazon S3-Buckets mit Daten zu diesen Gemeinden. Die Daten reichten von Wohnunterlagen wie Urkunden und Steuerinformationen bis hin zu Gewerbelizenzen und Bewerbungen für staatliche Stellen.
Aufgrund der sensiblen Natur der Dokumente enthielten viele der Formulare die E-Mail-Adresse, Anschrift, Telefonnummer, Führerscheinnummer, Grundsteuerinformationen, Führerscheinfotos und Fotos von Eigentum.
Die Forscher haben geschwärzte Fotos der verfügbaren Daten geteilt.
„Die Daten dieser Gemeinden wurden in mehreren falsch konfigurierten Amazon S3-Buckets gespeichert, die ähnliche Namenskonventionen wie MapsOnline aufwiesen. Aus diesem Grund verwenden diese Städte unserer Meinung nach dieselbe Softwarelösung“, heißt es in dem Bericht.
“Unser Team hat sich an das Unternehmen gewandt und die Eimer wurden inzwischen gesichert.”
Nicht jede Gemeinde hatte die gleichen Informationen offengelegt, und der Bericht sagte, dass die Arten der durchgesickerten Dateien unterschiedlich waren. Eine Schätzung der Zahl der von der Exposition betroffenen Personen konnten die Forscher aufgrund der Vielfalt der Formen nicht abgeben.
Das Sicherheitsunternehmen hat einen Scanner bereitgestellt, der 114 Amazon Buckets gefunden hat, die mit PeopleGIS verbunden und ähnlich benannt sind. Dem Bericht zufolge waren 28 richtig konfiguriert, während “86 ohne Passwort oder Verschlüsselung zugänglich waren”.
Die Forscher hatten keinen endgültigen Grund dafür, warum einige Buckets ordnungsgemäß gesichert waren und andere nicht.
Sie schlugen vor, dass PeopleGIS einfach “die Buckets erstellt und an ihre Kunden (alle Gemeinden) weitergegeben hat, und einige von ihnen haben sichergestellt, dass diese richtig konfiguriert sind.”
Eine andere Theorie bezog sich auf eine potenzielle Situation, in der verschiedene Mitarbeiter bei PeopleGIS — ohne klare Richtlinien — jeden Bucket erstellt und konfiguriert.
Die dritte Theorie war, dass die Gemeinden selbst die Buckets mit grundlegenden Richtlinien von PeopleGIS “zum Namensformat, aber ohne Richtlinien zur Konfiguration” erstellt haben.
Die Forscher sagten, dies würde “den Unterschied zwischen den Gemeinden erklären, deren Mitarbeiter davon wussten oder nicht.”
“Der Verstoß könnte zu massivem Betrug und Diebstahl von Bürgern dieser Gemeinden führen Die Daten, die in der Datenbank einer lokalen Regierung enthalten sind, von Telefonnummern über Geschäftslizenzen bis hin zu Steuerunterlagen, sind sehr anfällig für die Ausbeutung durch böswillige Akteure”, heißt es in dem Bericht.
“Viele dieser Informationen sollen nur der Regierung und den Bürgern zugänglich sein, was bedeutet, dass jemand eine Person möglicherweise betrügen könnte, indem er sich als Regierungsbeamter ausgibt.”
PeopleGIS reagierte nicht auf Anfragen nach Kommentaren.
Sicherheit
Kaseya Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN Testbericht: Es ist billig, aber ist es gut? Die besten Browser für Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
Sicherheit CXO Innovation Smart Cities 