Mer än 1000 GB data och över 1,6 miljoner filer från dussintals kommuner i USA lämnades exponerade, enligt en ny rapport från ett team av cybersäkerhetsforskare med säkerhetsföretaget WizCase.
Alla städer tycktes vara anslutna via en produkt: mapsonline.net, som ägs av ett Massachusetts-företag som heter PeopleGIS. Företaget tillhandahåller programvara för informationshantering till lokala myndigheter i Massachusetts, New Hampshire och Connecticut.
Ata Hakçıl och hans team upptäckte mer än 80 felkonfigurerade Amazon S3-hinkar som innehöll data relaterade till dessa kommuner. Uppgifterna varierade från bostadsregister som handlingar och skatteinformation till företagslicenser och jobbansökningar för statliga positioner.
På grund av handlingarnas känsliga karaktär inkluderade många av formulärens människors e-postadress, fysiska adress, telefonnummer, körkortnummer, fastighetsskattinformation, licensfotografier och foton på egendom.
Forskarna delade redigerade bilder av tillgängliga data.
“Dessa kommuners data lagrades i flera felkonfigurerade Amazon S3-hinkar som delade liknande namngivningskonventioner till MapsOnline. På grund av detta tror vi att dessa städer använder samma programvarulösning”, säger rapporten.
“Vårt team nått ut till företaget och skoporna har sedan säkrats.”
Inte varje kommun hade samma information exponerad, och rapporten sa att filtyperna som läcktes ut varierade. Forskarna kunde inte ge en uppskattning av antalet personer som påverkades av exponeringen på grund av hur olika formerna var.
Säkerhetsföretaget distribuerade en skanner som hittade 114 Amazon-skopor anslutna till PeopleGIS och namngav liknande. Enligt rapporten var 28 konfigurerade korrekt medan “86 var tillgängliga utan lösenord eller kryptering.”
De föreslog att PeopleGIS helt enkelt “skapade och överlämnade skoporna till sina kunder (alla kommuner), och några av dem såg till att dessa var korrekt konfigurerade.”
En annan teori involverade en potentiell situation där olika anställda på PeopleGIS. – utan tydliga riktlinjer – skapade och konfigurerade varje skopa.
Den tredje teorin var att kommunerna själva skapade hinkar med grundläggande riktlinjer från PeopleGIS “om namngivningsformatet men utan några riktlinjer för konfigurationen.”
Forskarna sade att detta “skulle förklara skillnaden mellan de kommuner vars anställda visste om det eller inte.” uppgifterna i en lokal myndighets databas, från telefonnummer till företagslicenser till skatteregister, är mycket mottagliga för utnyttjande av dåliga aktörer, ”heter det i rapporten.
”Mycket av denna information ska endast vara tillgänglig av regeringen och medborgarna, vilket innebär att någon potentiellt kan bedra en individ genom att utgöra sig som en myndighetsman.”
PeopleGIS svarade inte på begäran om kommentarer.
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN-tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar fler attacker (ZDNet YouTube)
Relaterade ämnen :
Säkerhet CXO Innovation Smart Cities 