Mer enn 1000 GB data og over 1,6 millioner filer fra dusinvis av kommuner i USA ble igjen eksponert, ifølge en ny rapport fra et team av cybersikkerhetsforskere med sikkerhetsselskapet WizCase.
Alle byene syntes å være koblet sammen gjennom ett produkt: mapsonline.net, som eies av et Massachusetts-selskap kalt PeopleGIS. Selskapet leverer programvare for informasjonsadministrasjon til lokale myndigheter i Massachusetts, New Hampshire og Connecticut.
Ata Hakçıl og teamet hans oppdaget mer enn 80 feilkonfigurerte Amazon S3 bøtter som inneholdt data relatert til disse kommunene. Dataene varierte fra boligoppføringer som skjøter og skatteinformasjon til forretningslisenser og jobbsøknader for statlige stillinger.
På grunn av dokumentets følsomme natur inkluderte mange av skjemaene folks e-postadresse, fysisk adresse, telefonnummer, førerkortnummer, eiendomsskattinformasjon, lisensfotografier og bilder av eiendom.
Forskerne delte redigerte bilder av tilgjengelige data.
“Dataene til disse kommunene ble lagret i flere feilkonfigurerte Amazon S3-skuffer som delte lignende navngivningskonvensjoner til MapsOnline. På grunn av dette tror vi at disse byene bruker den samme programvareløsningen,” heter det i rapporten.
“Teamet vårt nådde ut selskapet og skuffene er siden sikret.”
Ikke alle kommuner hadde samme informasjon eksponert, og rapporten sa at filtypene som lekket varierte. Forskerne klarte ikke å gi et estimat på antall personer som ble berørt av eksponeringen på grunn av hvor varierte skjemaene var.
Sikkerhetsselskapet distribuerte en skanner som fant 114 Amazon-skuffer koblet til PeopleGIS og navngitt tilsvarende. I følge rapporten var 28 konfigurert riktig mens “86 var tilgjengelige uten noe passord eller kryptering.”
Forskerne hadde ikke en endelig grunn til at noen bøtter var ordentlig sikret og andre ikke.
De foreslo at PeopleGIS rett og slett “opprettet og overlot skuffene til kundene sine (alle kommuner), og noen av dem sørget for at disse var riktig konfigurert.”
En annen teori involverte en potensiell situasjon der forskjellige ansatte ved PeopleGIS. – uten klare retningslinjer – opprettet og konfigurert hver bøtte.
Den tredje teorien var at kommunene selv opprettet skuffene med grunnleggende retningslinjer fra PeopleGIS “om navneformatet, men uten noen retningslinjer angående konfigurasjonen.”
Forskerne sa at dette “ville forklare forskjellen mellom kommunene hvis ansatte visste om det eller ikke.”
“Bruddet kan føre til massiv svindel og tyveri fra innbyggerne i disse kommunene. dataene i en lokal myndighets database, fra telefonnumre til forretningslisenser til skatteregistreringer, er svært utsatt for utnyttelse av dårlige aktører, “heter det i rapporten.
“Mye av denne informasjonen skal bare være tilgjengelig av regjeringen og innbyggerne, noe som betyr at noen potensielt kan svindle et individ ved å stille seg som myndighetspersoner.”
PeopleGIS svarte ikke på forespørsler om kommentar.
Sikkerhet
Kaseya-ransomware-angrep: Hva du trenger å vite om Surfshark VPN-gjennomgang: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt De beste antivirusprogramvarene og appene De beste VPN-ene for forretnings- og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Sikkerhet CXO Innovation Smart Cities 