Tusentals oskyddade passskanningar hittades online

Tusentals oskyddade passskanningar hittades online

KÀnsliga filer frÄn tusentals brittiska konsultföretag lÀmnades oskyddade i Amazons moln, inklusive passavsökningar, jobbansökningar och skattedokument, enligt forskargruppen frÄn vpnMentor.

I ett blogginlĂ€gg dokumenterade vpnMentor hur teamet hittade en Amazon Web Services (AWS) S3-skopdatabas mĂ€rkt “CHS.” Att lagra filer pĂ„ det hĂ€r sĂ€ttet Ă€r populĂ€rt, men det krĂ€ver att anvĂ€ndare implementerar sina egna sĂ€kerhetsprotokoll, vilket de inte gjorde hĂ€r.

VpnMentor spÄrade databasen till ett Londonbaserat konsultföretag som heter CHS Consulting, men företaget har ingen webbplats, sÄ VpnMentor kunde inte bekrÀfta att CHS faktiskt Àger databasen.

Inne i databasen fanns filer som gÄr tillbaka till 2011, Àven om de flesta var frÄn 2014 och 2015 och lÀnkade till nu nedlagda företag, inklusive Dynamic Partners, Garraway Consultants, Partners Associates Ltd och Winchester Ltd, samt Eximius Consultants Limited och IQ Consulting, bÄda fungerar fortfarande.

Förutom pass- och skatteinformation innehöll dokument i databasen adressbevis, omfattande bakgrundskontroller, kriminalregister, utgifts- och förmÄner, pappersarbete relaterade till företagsskatter och HMRC (HM Revenue and Customs), skannade kontrakt med underskrifter, löneinformation , privata meddelanden och ett lÄneavtal.

Olyckliga individer kunde potentiellt ha haft tillgĂ„ng till tusentals företags ekonomiska poster, nationella försĂ€kringsnummer, skattekoder och mer. VpnMentor sĂ€ger “bara tvĂ„ filer frĂ„n ett enda företag innehöll ett komplett sortiment av PII [Personally Identifiable Information] data.”

Ansvaret för detta dataintrÄng faller inte pÄ Amazons fötter, inte ens genom att företaget driver servern. Amazon ger instruktioner om hur man skyddar S3-hinkar, och de Àr sÀkrade som standard, sÄ att offentliggörandet av data Àr vanligtvis ett problem som orsakas av kontoÀgaren.

Amazon sĂ€krade eller tog data offline, enligt, men det skulle inte avslöja vilket företag som var ansvarigt för felet, sĂ„ det Ă€r omöjligt att rapportera det till Information Commissioner’s Office, ett brittiskt offentligt organ som ansvarar för dataskydd.

VpnMentor rapporterade uppgifterna till National Cyber ​​Security Center (NCSC), men byrĂ„n svarade inte pĂ„ en mĂ„nad eftersom e-postmeddelandet skickades till NCSC: s skrĂ€ppostmapp, sĂ€ger Noam Rotem och Ran Locar, som ledde vpnMentors forskargrupp.

SĂ„dana nyheter Ă€r en pĂ„minnelse om att oavsett hur sĂ€ker du behĂ„ller din egen information, gör företagen fortfarande inte sin due diligence. Denna senaste övertrĂ€delse Ă€r “förmodligen en kombination av okunnighet och brist pĂ„ ansvar – de bryr sig helt enkelt inte”, sĂ€ger Rotem.