1000 GB данни от местното правителство, изложени от софтуерната компания в Масачузетс

Повече от 1000 GB данни и над 1,6 милиона файлове от десетки общини в САЩ са били изложени, според нов доклад от екип от изследователи по киберсигурност с охранителна компания WizCase.

Изглежда, че всички градове са свързани чрез един продукт: mapsonline.net, който е собственост на компания в Масачузетс, наречена PeopleGIS. Компанията предоставя софтуер за управление на информация на местните власти в Масачузетс, Ню Хемпшир и Кънектикът.

Ata Hakçıl и неговият екип откриха повече от 80 неправилно конфигурирани кофи на Amazon S3, съдържащи данни, свързани с тези общини. Данните варират от жилищни записи като актове и данъчна информация до бизнес лицензи и заявления за работа за държавни длъжности.

Поради чувствителния характер на документите, много от формулярите включват имейл адрес на хората, физически адрес, телефонен номер, номер на шофьорска книжка, информация за данъка върху недвижимите имоти, лицензионни снимки и снимки на собственост.

Изследователите споделиха редактирани снимки на наличните данни.

“Данните за тези общини се съхраняват в няколко неправилно конфигурирани кофи на Amazon S3, които споделят подобни конвенции за именуване на MapsOnline. Поради това вярваме, че тези градове използват едно и също софтуерно решение”, се казва в доклада.

„Нашият екип се свърза с компанията и оттогава кофите бяха осигурени.“

Не във всяка община е била изложена една и съща информация и в доклада се казва, че видовете изтекли файлове са различни. Изследователите не бяха в състояние да дадат оценка на броя на хората, засегнати от експозицията, поради това колко разнообразни са формите.

Компанията за сигурност внедри скенер, който откри 114 Amazon Buckets, свързани с PeopleGIS и назовани по подобен начин. Според доклада 28 са конфигурирани правилно, докато „86 са били достъпни без никаква парола и криптиране“.

Изследователите не са имали категорична причина защо някои кофи са били правилно закрепени, а други не.

Те предположиха, че PeopleGIS просто „създава и предава кофите на своите клиенти (всички общини) и някои от тях се уверяват, че те са правилно конфигурирани“.

Друга теория включва потенциална ситуация, при която различни служители в PeopleGIS – без ясни насоки – създават и конфигурират всяка група.

Третата теория беше, че общините сами създават групите с основни насоки от PeopleGIS „относно формата на именуване, но без никакви насоки относно конфигурацията“.

Изследователите казват, че това “ще обясни разликата между общините, чиито служители са знаели за това или не.”

“Нарушението може да доведе до масивни измами и кражби от граждани на тези общини. Силно чувствителният характер на данните, съдържащи се в базата данни на местното правителство, от телефонни номера до бизнес лицензи до данъчни регистри, са силно податливи на експлоатация от лоши участници, “се казва в доклада.

“Голяма част от тази информация трябва да бъде достъпна само от правителството и гражданите, което означава, че някой може потенциално да измами дадено лице, представяйки се за държавен служител.”

PeopleGIS не отговори на искания за коментар.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com