Un serveur non protégé a divulgué 24 millions de documents de logement sensibles non pas une mais deux fois

[ware_item id=33][/ware_item]

Une fuite massive de logements expose les documents de l'acheteur


Si vous vivez aux États-Unis et avez acheté une maison au cours de la dernière décennie, vos informations peuvent être en danger. Selon TechCrunch, plus de 24 millions de documents hypothécaires et bancaires ont été exposés pas une fois mais deux fois.

Les informations exposées comprenaient les accords de prêt hypothécaire, les calendriers de paiement, les numéros de téléphone des emprunteurs et d'autres données financières sensibles.

Le coupable? Un seul serveur non sécurisé. Si vous pensez que c'est mauvais, cela empire: en plus de contenir des millions de documents sensibles, ce serveur n'a même pas inclus de mot de passe.

En d'autres termes, ces informations étaient accessibles à toute personne disposant de cinq secondes pour ouvrir son navigateur et saisir l'URL.

Laisser des objets de valeur à l'intérieur avec la porte d'entrée déverrouillée

Les documents en question ont été stockés par Ascension, une société tierce de données et d'analyse. Dans un article de blog public, l'expert d'InfoSec, Bob Diachenko, qui a découvert le serveur public pour la première fois, a déclaré qu'il y avait plus de 24 millions d'enregistrements ouvertement disponibles.

Les enregistrements, qui remontent à plus d'une décennie, abritaient 51 Go de données OCR (reconnaissance optique de caractères). Bien que ce type de texte soit facilement lisible à l'œil nu, il peut facilement être analysé pour divulguer des détails privés.

"Ces informations seraient une mine d'or pour les cybercriminels qui auraient tout ce dont ils ont besoin pour voler leurs identités, produire de fausses déclarations de revenus, obtenir des prêts ou des cartes de crédit", a écrit Diachenko..

Les prêteurs ne savaient pas que ces documents existaient

Le serveur exposé hébergeait des dizaines de milliers de documents financiers provenant de différentes banques et institutions, notamment Wells Fargo, Capital One, HSBC Life Insurance, CitiFinancial, etc. Bien que les informations aient été quelque peu brouillées, elles étaient relativement faciles à reconstruire, surtout si une personne devait utiliser les bons outils.

Mais voici le truc: la plupart des banques ont déclaré officiellement n'avoir aucune affiliation avec Ascension. En fait, Wells Fargo a déclaré officiellement qu'elle n'avait «aucune relation de fournisseur avec Ascension depuis 2010.» HSBC a dit la même chose.

Cela signifie que les documents de logement personnels des personnes ont sauté de différentes sociétés, changeant de mains plusieurs fois - dans certains cas sans que le prêteur financier d'origine sache même—Pour finir par atterrir sur un site Web sur lequel presque tous les étrangers.

Tromper moi deux fois, honte à toi

L'exposition ressemble à un boîtier ouvert et fermé, non? Malheureusement non. Un jour après le rapport initial, Diachenko a trouvé un autre serveur non sécurisé qui hébergeait les mêmes fichiers. Ce serveur ne comportait pas de nouveau de verrouillage par mot de passe, et pire encore, répertoriait tous les documents sensibles en texte brut.

Encore une fois, cela empire. Les fichiers ont été stockés sur un serveur de stockage Amazon S3, qui par défaut active la protection par mot de passe. Cela signifie que la partie (ou les parties) responsable du logement de ces documents personnels a volontairement désactivé les paramètres de protection par mot de passe.

C'est comme garder tout votre argent sous votre matelas, retirer physiquement votre porte d'entrée, puis partir en vacances pendant une semaine!

OK, si vous pensiez que les choses pourraient empirer avec cette histoire de documents hypothécaires que nous avons rompue, vous vous trompez. J'ai trouvé le compartiment OPEN S3 public d'une entreprise rempli de documents numérisés qui ont été utilisés pour l'OCR => Elasticsearch… @zackwhittaker en dira plus dans une seconde

- Bob Diachenko (@MayhemDayOne) 24 janvier 2019

Il convient de noter que, comme le premier cache de données, celui-ci comprenait également des W-2 et d'autres documents financiers sensibles. Malheureusement, il n'y a également aucun moyen de dire combien de temps ces informations ont été divulguées ou quelles parties les ont consultées..

"Je suppose qu'après une telle publicité comme ces gars-là, la première chose que vous feriez serait de vérifier si votre stockage cloud est en panne ou, au moins, protégé par mot de passe", a déclaré Diachenko..

Apparemment non.

Étapes pour sécuriser vos informations

Bien qu'il soit parfaitement possible qu'aucun mal n'ait été fait, cela ne fait jamais de mal d'être préparé. Si vous vivez aux États-Unis et avez acheté une maison au cours de la dernière décennie, vous voudrez peut-être prendre quelques minutes pour parcourir vos récents rapports de crédit pour voir s'il y a des changements majeurs.

L'activation de l'authentification à 2 facteurs sur vos différents comptes en ligne est également recommandée. En configurant une deuxième méthode de connexion, les tiers ne pourront pas se connecter à vos différents comptes, même s'ils disposent de toutes vos informations.

En outre, il est également important de vérifier toutes les adresses e-mail avant d'ouvrir une pièce jointe. Avec des éléments de vos informations personnelles à portée de main, les pirates informatiques sont connus pour envoyer des e-mails malveillants déguisés en une entreprise réputée qui mentionnent souvent des détails spécifiques (c'est-à-dire votre nom d'utilisateur, votre mot de passe, etc.), puis invitez le destinataire à changer (ou à confirmer) leur mot de passe, ouvrir une pièce jointe, etc..

Si vous ne connaissez pas le destinataire - ou si un e-mail est automatiquement signalé comme suspect - il est préférable d'approcher avec prudence..

Bien que cette histoire soit encore en cours de développement, elle sert de récit édifiant pour toujours activer votre mot de passe et vos paramètres de sécurité. Parce que vous ne pouvez pas faire confiance à une entreprise aléatoire pour protéger vos données personnelles, c'est à vous de prendre votre vie privée en main.

Un serveur non protégé a divulgué 24 millions de documents de logement sensibles non pas une mais deux fois
admin Author
Sorry! The Author has not filled his profile.