Специалист по информационной безопасности Джеремайя Фаулер обнаружил более 600 тысяч конфиденциальных файлов в незащищённой паролем базе данных, принадлежащей брокерской компании SL Data Services. Они содержат истории преступлений тысяч людей, проверки биографических данных, записи о транспортных средствах и имуществе.
База не была защищена паролем, а информация в ней не была зашифрована. В общей сложности она содержала 644 869 файлов PDF в архиве объемом 713,1 ГБ.
Пока неясно, как долго эта информация находилась в открытом доступе. Фаулер обнаружил хранилище с данными Amazon S3 в октябре и сообщал об этом SL Data Services каждые несколько дней в течение более двух недель после этого. «Даже когда я позвонил по нескольким номерам и заявил им об инциденте, они ответили, что используют 128-битное шифрование и SSL-сертификаты», — говорит он.
Около 95% обнаруженных документов были помечены для «проверки биографических данных». Они содержали полные имена, домашние адреса, номера телефонов, адреса электронной почты, сведения о работе, членах семьи, учётных записях в социальных сетях и истории судимостей тысяч людей. По крайней мере в одном из этих документов говорилось, что человек был осуждён за сексуальное насилие.
Пока нет никаких признаков того, что преступники обнаружили открытую базу данных и просматривали конфиденциальные файлы в ней.
Исследователь говорит, что в документах достаточно данных, чтобы составить полные профили людей — вместе с членами их семей и коллегами — которые преступники смогут использовать для целенаправленного фишинга и/или атак социальной инженерии. «Это подвергает потенциальному риску как самого человека, так и его семью или партнёров — или даже людей, которые не имеют никакого отношения к человеку, идентифицированному в ходе проверки биографических данных», — сказал Фаулер.
Поставщик информационных услуг в конечном итоге закрыл контейнер S3, хотя так и не дал никакого ответа исследователю. В The Register также обратились к SL Data Services за комментариями, но не получили ответа.
SL Data Services предоставляет отчёты о недвижимости, включая данные о залогах, информацию о владельцах и соседях, для сайтов недвижимости по всей территории США. Хотя открытая база данных принадлежала брокеру, папки внутри неё были названы отдельными доменами веб-сайтов. По мнению Фаулера, фирма, по-видимому, управляет как минимум 16 различными ресурсами, которые предоставляют ряд различных данных. «Например, PropertyRec, веб-сайт, который рекламирует данные исследований недвижимости и имущества, был упомянут в названии базы данных», — написал он.
«Однако, похоже, что компания предлагает больше, чем просто записи о недвижимости. В телефонном звонке в службу поддержки мне сказали, что они также предоставляют проверки на наличие судимостей, записи о разделении транспортных средств (DMV), записи о смерти и рождении», — добавил исследователь.
Ещё одним тревожным аспектом является то, что файлы в базе данных были названы с использованием следующего формата: «Имя_Отчество_Фамилия_Штат.PDF». Хотя этот механизм именования обеспечивает простой способ организации и поиска файлов, Фаулер рекомендует организациям использовать уникальные идентификаторы, которые являются случайными и хешированными.
Источник: habr.com