111 Гб внутренней информации о десятках тысяч клиентов Национальной кредитной федерации (National Credit Federation, NCF), службы кредитов в городе Тампа, штат Флорида, обнаружены в открытом доступе в хранилище данных Amazon S3 (AWS).
Было обнаружено 47000 файлов, большинство из которых — PDF и текстовые документы, содержащие чувствительные данные клиентов NCF.
В хранилище находятся три общих пула данных: финансовые документы, представленные клиентами в NCF, персонализированные кредитные планы и видеоролики, созданные NCF для своих клиентов, а также кредитные отчеты клиентов от Equifax, Experian, и TransUnion.
Персональные данные, представленные клиентами в NCF являются конфиденциальными.
На фотографиях и сканированных картах социального обеспечения указаны номера социального страхования всех клиентов, в то время как другие представленные документы содержат полные номера банковских счетов и кредитных карт. Все это может легко использовано злоумышленниками для кражи личности и компрометации финансовых данных клиентов NCF.
Стоит учесть, что в репозитарии также содержатся персонализированные кредитные планы, которые включают множество конфиденциальных данных клиента в одном месте. Как клиент выплачивает ипотеку, как регулярно оплачивает счета за кредитную карту и т.д.
Видеофайлы в репозитории отображают настольные компьютеры сотрудников NCF, записанные с помощью программы сбора скриншотов
Кроме того, репозиторий содержит тысячи отчетов о кредитах клиентов, составленных Equifax, Experian и TransUnion.
Наличие кредитных отчетов Equifax в этом хранилище является эхом нарушения в начале этого года, когда похищены были личные и финансовые данные практически каждого взрослого жителя США.
По самой низкой оценке, количество пострадавших клиентов NCF составляет порядка сорока тысяч человек.
Можно ли было избежать такой утечки? Да. Простейшим и при этом весьма эффективным решением проблемы бесконтрольного расползания важной информации по облакам может служить регулярная инвентаризация данных.
Автор: Владимир Безмалый
Filed under: ИТ-безопасность , Компьютеры и Интернет , Компьютеры и Интернет , Мысли вслух , Мысли вслух , Необходимо знать! Советы параноика , Персональные данные , Статьи , Утечки , IT-Security
