Hétpecsét Információbiztonsági Egyesület

Dokumentumbotrány: újabb adag személyes adat bukkant fel a neten

Amikor azt hittük, hogy a tegnapi adatszivárgás már nem lehet égőbb, gyorsan előkerült még egy adag dokumentum.

(Fotó: Chris Potter / ccPixs.com / CC-BY)

A Ludas Matyi építkezős jelenetének egyik legjobb része, amikor az olasz építőmesternek öltözött Matyi egy kő elpöckölésével helyére üti a düledező kastélyt. Az állványzat tetején ülő málé kőműves pedig csodálkozva közli, hogy

Visszajött a kémény!

Ilyesmi történik éppen az amerikai pénzügyi világban is, csak kevésbé pozitívak a fejlemények. Tegnap mi is beszámoltunk arról, hogy komoly mennyiségű személyes- és pénzügyi adat szivárgott ki az Ascension nevű adatelemző cégtől. Még pontosabban az Ascension dokumentumfelismerést végző alvállalkozójától, az OpticsML nevű startuptól. A dokumentumokat egy független IT-biztonsági szakértő lelte meg, aki jelentette is az esetet, a milliós dokumentumtárat pedig gyorsan elérhetetlenné tette az Ascension. Azt persze nem tudni, kik fértek korábban hozzá az adatokhoz.

Bob Diachenko, a biztonsági szakértő azóta turkált még egy kicsit az interneten, és legnagyobb meglepetésére újra megtalálta ugyanazokat az adatokat. Az első adag a digitalizált, karakterfelismerés utáni adatbázis volt. Most másodjára egy Amazon S3 tárhelyen a felismerés előtti szkennelt anyagokra bukkant rá. Nagyon keresgélnie sem kellett, egy könnyen kitalálható webes címen volt a jelszóval nem védett könyvtár, ahonnan bárki letölthette a dokumentumokat.

Diachenkót az különösen meglepte, hogy semmilyen védelem nem volt a könyvtáron. Az Amazon szerverei alapbeállítás szerint jóval biztonságosabban üzemelnek ennél. Tehát szándékosan kellett kikapcsolni védelmeket ahhoz, hogy az adatbázis szabadon elérhetővé váljon. A mostani lelet valamivel kisebb: 21 fájl, ami összesen 23 ezer oldalt tartalmaz.

A hiba jelzése után az OpticsML egy óra alatt le tudta zárni a könyvtárat. A kutató és az ügyet elsőként megíró Techcrunch kérdéseire azonban nem nagyon akartak válaszolni. Csak egy olyan szabványválaszra futotta, hogy a megfelelő hatóságokkal és törvényszéki informatikai szakértőkkel vizsgálják az ügyet. Illetve elismerték a második adatszivárgást is.

Megtekintés: 55