Исследователь обнаружил в сети незащищённую паролем базу данных инфоброкера SL Data Services/Propertyrec

Специалист по информационной безопасности Джеремайя Фаулер обнаружил более 600 тысяч конфиденциальных файлов в незащищённой паролем базе данных, принадлежащей брокерской компании SL Data Services. Они содержат истории преступлений тысяч людей, проверки биографических данных, записи о транспортных средствах и имуществе.

База не была защищена паролем, а информация в ней не была зашифрована. В общей сложности она содержала 644 869 файлов PDF в архиве объемом 713,1 ГБ.

Пока неясно, как долго эта информация находилась в открытом доступе. Фаулер обнаружил хранилище с данными Amazon S3 в октябре и сообщал об этом SL Data Services каждые несколько дней в течение более двух недель после этого. «Даже когда я позвонил по нескольким номерам и ​​заявил им об инциденте, они ответили, что используют 128-битное шифрование и SSL-сертификаты», — говорит он.

Около 95% обнаруженных документов были помечены для «проверки биографических данных». Они содержали полные имена, домашние адреса, номера телефонов, адреса электронной почты, сведения о работе, членах семьи, учётных записях в социальных сетях и истории судимостей тысяч людей. По крайней мере в одном из этих документов говорилось, что человек был осуждён за сексуальное насилие. 

Пока нет никаких признаков того, что преступники обнаружили открытую базу данных и просматривали конфиденциальные файлы в ней.

Исследователь говорит, что в документах достаточно данных, чтобы составить полные профили людей — вместе с членами их семей и коллегами — которые преступники смогут использовать для целенаправленного фишинга и/или атак социальной инженерии. «Это подвергает потенциальному риску как самого человека, так и его семью или партнёров — или даже людей, которые не имеют никакого отношения к человеку, идентифицированному в ходе проверки биографических данных», — сказал Фаулер.

Поставщик информационных услуг в конечном итоге закрыл контейнер S3, хотя так и не дал никакого ответа исследователю. В The Register также обратились к SL Data Services за комментариями, но не получили ответа.

SL Data Services предоставляет отчёты о недвижимости, включая данные о залогах, информацию о владельцах и соседях, для сайтов недвижимости по всей территории США. Хотя открытая база данных принадлежала брокеру, папки внутри неё были названы отдельными доменами веб-сайтов. По мнению Фаулера, фирма, по-видимому, управляет как минимум 16 различными ресурсами, которые предоставляют ряд различных данных. «Например, PropertyRec, веб-сайт, который рекламирует данные исследований недвижимости и имущества, был упомянут в названии базы данных», — написал он.

«Однако, похоже, что компания предлагает больше, чем просто записи о недвижимости. В телефонном звонке в службу поддержки мне сказали, что они также предоставляют проверки на наличие судимостей, записи о разделении транспортных средств (DMV), записи о смерти и рождении», — добавил исследователь.

Ещё одним тревожным аспектом является то, что файлы в базе данных были названы с использованием следующего формата: «Имя_Отчество_Фамилия_Штат.PDF». Хотя этот механизм именования обеспечивает простой способ организации и поиска файлов, Фаулер рекомендует организациям использовать уникальные идентификаторы, которые являются случайными и хешированными.

Источник: habr.com

0 0 голоса
Рейтинг новости
3246
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии