Beheer

Security
Datalek

198 miljoen persoonsgegevens gelekt door foutje in settings

En weer stond de permissie in AWS S3-server verkeerd

datalek © Shutterstock
21 juni 2017

En weer stond de permissie in AWS S3-server verkeerd

Persoonlijke gegevens van zeker 198 miljoen Amerikanen blijken lange tijd voor het grijpen te zijn geweest omdat ze waren opgeslagen op een slecht beveiligde Amazon S3-server. Gebruikers daarvan blijken heel vaak de verkeerde settings te gebruiken.

De lekke database werd vorige week gevonden door een onderzoeker van beveiliger UpGuard. Inmiddels is de server nu wel goed beveiligd.

Het zou gaan om het grootste lek ooit met dergelijke gegevens. Het zijn de data van 198 miljoen geregistreerde Amerikaanse kiezers, verzameld en opgeslagen door Deep Root Analytics, een Republikeinse data-analysespecialist. Dat zijn dus vrijwel alle 200 miljoen Amerikaanse geregistreerde kiezers. Met de gegevens kunnen mensen heel precies geïdentificeerd worden. Er zitten weliswaar geen financiële data bij, maar voor social engineering en phishing-aanvallen zijn de gegevens wel heel erg bruikbaar. Deep Root Analytics verzamelde en gebruikte de kiezersdata voor de verkiezingscampagne van Donald Trump.

 

Volgens onderzoeker Chris Vickery van UpGuard gaat het om 1,1 terabyte geheel onbeveiligde persoonlijke gegevens “die opgeslagen waren in een publiek toegankelijke cloudserver.” Daarbij had Deep Root de S3 storage bucket files op ‘public permissions’ gezet in plaats van op ‘private’. Niet alleen waren ze daardoor zichtbaar voor iedereen die dat wilde, maar ook konden records daardoor gedownload worden.

Beruchte fout

Het is bepaald niet de eerste keer dat zulke data slecht beveiligd staan opgeslagen. Vickery vond onlangs nog 60.000 documenten met gevoelige Amerikaanse data, eveneens op AWS S3. Een jaar geleden vond hij een totaal niet beveiligde database op een Amazon-server waarin de gegevens van ruim 93 miljoen Mexicaanse kiezers waren opgeslagen. Hij merkt dat het heel vaak voorkomt dat S3-bestanden verkeerd gemarkeerd worden waardoor ze publiekelijk benaderbaar zijn. Hij wijst er op dat Amazon een model hanteert waarbij klanten verantwoordelijkheid hebben voor de permissie-settings die ze op hun bestanden plaatsen. Vickery leidt een team binnen UpGuard dat zich toelegt op het vinden, beveiligen en bekend maken van zulke datalekken die ontstaan door slecht geconfigureerde databronnen. UpGuard noemt de Simple Storage Service (S3) storage buckets van Amazon “berucht voor het open laten staan”. Dat zouden zelfs zeer grote organisaties doen. “Hoewel de misconfiguratie op zich heel klein is, een simpele permissie, kunnen de gevolgen vreselijk zijn.”

Eind 2015 vonden onderzoekers van Databreaches.net al een database met daarin persoonsgegevens van 191 miljoen geregistreerde Amerikaanse kiezers, die toegankelijk was voor iedereen die het ip-adres van de host kende. Het lek zou zijn ontstaan door een configuratiefout. De gegevens betroffen namen, adressen, telefoonnummers, een log van het stemgedrag, geboortedata, geslacht, e-mailadressen en etniciteit. De data betroffen de periode 2000 tot 2014. Zulke kiezersgegevens worden onder voorwaarden en tegen een vergoeding verstrekt door de diverse Amerikaanse staten.

Vickery vermoedde dat Deep Root Analytics staatswetten had overtreden met de zeer onzorgvuldige beveiliging van de data en meldde dit daarom bij de federale autoriteiten. Pal daarop werd de fout in de configuratie hersteld en waren de gegevens niet meer publiekelijk te benaderen.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.