Według raportu Gartnera od 70% do 99% przypadków wycieków danych nie jest spowodowanych atakiem hakerskim lecz niefrasobliwością użytkowników. Zwykły użytkownik niejednokrotnie jest większym zagrożeniem dla swoich danych, niż cyberprzestępca. Dowodem na powyższe stwierdzenie może być duży wyciek danych z usługi Amazona AWS S3. Zdarzenie miało miejsce w marcu 2018 roku.
Organizacja „211LA” (pełna nazwa „211 Los Angeles”) na co dzień zajmuje się pomocą ludziom starszym, przemocą domową oraz innym sprawami społecznymi. Organizacja ta przechowywała bazę danych swoich podopiecznych właśnie na AWS S3. Backup tej bazy znajdował się też na AWSie. Problem polegał na tym, że folder z kopią bazy miał źle ustawione uprawnienia dostępu i jego zawartość okazała się publicznie dostępna.
Dane wrażliwe dostępne dla każdego
200 000 wierszy szczegółowych notatek, w tym opisów przypadków przemocy wobec osób starszych, wykorzystywania dzieci i prób samobójczych. Wśród danych ujawniono pełne nazwiska, numery telefonów, adresy, a nawet 33 000 pełnych numerów ubezpieczenia społecznego. Dodatkowo wyciekły dane takie jak: adresy email i skróty haseł pracowników i współpracowników organizacji. Hasła były szyfrowane za pomocą MD5.
Konkluzja
Jeżeli chce się przechowywać krytyczne dane w chmurze to naprawdę należy zadbać o ich bezpieczeństwo. A ono zaczyna się u podstaw – dostęp do nich powinien być wtedy mocno ograniczony.
Źródło: UpGuard
—
Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.
