Oltre 750.000 domande di certificati di nascita statunitensi esposte online
Ecco un'altra storia di pratiche apparentemente imprecise da parte di un'azienda incaricata di curare i nostri dati personali online.
Secondo TechCrunch , oltre 750.000 domande di certificati di nascita statunitensi sono state scoperte online in un bucket di archiviazione Amazon Web Services (AWS), che è essenzialmente una soluzione di archiviazione basata su cloud.
I dati esposti – detenuti da una società che aiuta le persone a ottenere una copia del loro certificato di nascita – secondo quanto riferito non hanno una protezione con password e l'indirizzo web in cui si trovano le applicazioni è "facile da indovinare".
La società deve ancora rispondere alle domande sull'errore della sicurezza e, con i dati apparentemente ancora esposti, TechCrunch ha deciso di non nominare la società per proteggere i clienti interessati.
La cache è stata scoperta dalla società di sicurezza informatica con sede nel Regno Unito Fidus. I moduli esposti mostrano una serie di informazioni che includono il nome, la data di nascita, l'indirizzo di residenza, l'indirizzo e-mail e il numero di telefono del richiedente.
Mostrano anche informazioni storiche collegate a candidati come indirizzi passati, nomi di familiari e il motivo della domanda, che potrebbero includere qualsiasi cosa, dalla richiesta di un passaporto alla ricerca della storia familiare.
Non sembra essere coinvolto alcun pagamento o dati finanziari.
Nel suo rapporto, TechCrunch ha affermato che le applicazioni esposte risalgono al 2017. Anche la cache viene aggiornata su base giornaliera, con una settimana in cui vengono aggiunte più di 9.000 nuove applicazioni.
Da allora Amazon ha dichiarato che informerà la società della situazione, ma ha aggiunto che non può intraprendere azioni dirette per risolvere il problema.
Rispondendo a una serie di casi in cui le aziende non sono riuscite a configurare correttamente le proprie impostazioni AWS per proteggere con password i propri bucket di archiviazione, Amazon pochi giorni fa ha lanciato un nuovo strumento che consente ai propri clienti aziendali di rivedere più facilmente le proprie politiche di accesso al bucket e fornire avvisi se un secchio è aperto al pubblico.
In un caso simile che si è verificato solo il mese scorso, circa 450.000 giocatori di MTG Arena e Magic Online hanno avuto i loro dati personali esposti dopo che un file di backup del database era stato lasciato in un bucket di archiviazione AWS pubblico senza alcuna protezione con password. Wizards of the Coast, la compagnia dietro i giochi, descrisse l'errore come "un incidente isolato relativo a un database legacy" e disse che non era correlato ai suoi sistemi attuali.
La società ha risolto la situazione subito dopo averne saputo. Ora stiamo aspettando che l'azienda al centro della richiesta di certificato di nascita non faccia lo stesso.