Más de 750,000 solicitudes de certificados de nacimiento de EE. UU. Expuestas en línea
Aquí hay otra historia de prácticas aparentemente descuidadas de una compañía encargada de cuidar nuestros datos personales en línea.
Según TechCrunch , se han encontrado más de 750,000 solicitudes de certificados de nacimiento de EE. UU. En línea en un depósito de almacenamiento de Amazon Web Services (AWS), que es esencialmente una solución de almacenamiento basada en la nube.
Según los informes, los datos expuestos, en poder de una empresa que ayuda a las personas a obtener una copia de su certificado de nacimiento, no tienen protección con contraseña, y la dirección web donde se encuentran las aplicaciones es "fácil de adivinar".
La compañía aún no ha respondido a las preguntas sobre el error de seguridad, y con los datos aparentemente aún expuestos, TechCrunch ha optado por no nombrar a la compañía para proteger a los clientes afectados.
El caché fue descubierto por la firma de ciberseguridad con sede en el Reino Unido Fidus. Los formularios expuestos muestran un rango de información que incluye el nombre del solicitante, la fecha de nacimiento, el domicilio, la dirección de correo electrónico y el número de teléfono.
También muestran información histórica vinculada a los solicitantes, como direcciones anteriores, nombres de miembros de la familia y el motivo de la solicitud, que podría incluir cualquier cosa, desde solicitar un pasaporte hasta investigar la historia familiar.
No parece que haya ningún pago o datos financieros involucrados.
En su informe, TechCrunch dijo que las aplicaciones expuestas se remontan a 2017. El caché también se actualiza a diario, con una semana en particular donde se agregan 9,000 aplicaciones nuevas.
Desde entonces, Amazon ha dicho que informará a la compañía sobre la situación, pero agregó que no puede tomar medidas directas para resolver el problema.
Respondiendo a una gran cantidad de casos en los que las empresas no han configurado correctamente sus ajustes de AWS para proteger con contraseña sus depósitos de almacenamiento, Amazon hace solo unos días lanzó una nueva herramienta que permite a sus clientes comerciales revisar más fácilmente sus políticas de acceso al depósito y también proporcionar alertas si Un cubo está abierto al público.
En un caso similar que ocurrió el mes pasado, alrededor de 450,000 jugadores de MTG Arena y Magic Online tuvieron sus datos personales expuestos después de que un archivo de copia de seguridad de la base de datos se dejó en un depósito de almacenamiento público de AWS sin ninguna protección de contraseña. Wizards of the Coast, la compañía detrás de los juegos, describió el error como "un incidente aislado relacionado con una base de datos heredada" y dijo que no estaba relacionado con sus sistemas actuales.
La compañía arregló la situación poco después de enterarse. Ahora estamos esperando que la empresa en el centro del error de solicitud de certificado de nacimiento haga lo mismo.