Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Из «цифрового кошелька» утекли сканы документов 14 млн человек
Приложение Key Ring оставило на открытом хранилище Amazon Web Services S3 персональные данные более 14 млн пользователей. Об этом сообщает SiliconAngle.
Сервис Key Ring, разработанный медиахолдингом Gannett, широко используется в США для хранения в цифровом виде скан-копий и фотографий держателями карт лояльности различных торговых и сервисных компаний. Приложение также служит для загрузки копий водительских удостоверений, кредитных карт и других документов.
Утечку из приложения Key Ring обнаружили исследователи безопасности из компании vpnMentor Ноам Ротем (Noam Rotem) и Ран Локар (Ran Lokar). Они насчитали пять неправильно настроенных кластеров на сервере Amazon S3. Всего на незащищенном хранилище оказалось порядка 44 млн различных документов: помимо огромного количества сканов кредитных карт и водительских удостоверений, в облаке были карты медицинского страхования, карты покупателей лекарственной марихуаны, государственные удостоверения личности, подарочные карты и даже удостоверения членов Национальной стрелковой ассоциации.
Журналисты также отмечают, что Key Ring служит в качестве маркетинговой платформы для ряда розничных брендов. Поэтому на скомпрометированном сервере среди прочего оказались CSV-файлы с обширными списками участников программ и отчетами для многих корпоративных клиентов Key Ring с персональными данными миллионов людей.
Ротем и Локар нашли незащищенный сервер с файлами Key Ring еще в январе. На связь с владельцами приложения они смогли выйти 18 февраля. В итоге 20 февраля облачное хранилище было защищено паролем.
Исследователи не могут с полной уверенностью сказать, что кроме них к серверу никто не обращался. Если все-таки злоумышленникам удалось получить доступ к документам, то ущерб пользователей Key Ring и самой компании Gannett может быть огромным.
Теперь подписчики Key Ring должны быть очень бдительными: имея на руках столь подробную информацию о них, фишинговые мошенники могут преодолеть любые системы защиты, подчеркивает Патрик Хэмилтон (Patrick Hamilton), евангелист в области кибербезопасности учебного центра Lucy Security AG.