La società di gestione immobiliare della Nuova Zelanda perde 30.000 documenti degli utenti

La società di gestione immobiliare della Nuova Zelanda perde 30.000 documenti degli utenti

CyberNews ha ricevuto informazioni dal lettore Jake Dixon, un ricercatore di sicurezza con Vadix Solutions, che ha scoperto un database non protetto di Amazon Simple Storage Solution (S3) contenente oltre 31.000 immagini di passaporti degli utenti, patenti di guida, prove di documenti di identità e altro ancora. Questi file sono accessibili al pubblico a chiunque abbia l'URL e sembra essere di proprietà della società LPM Property Management di Wellington, in Nuova Zelanda.

A causa del tipo di azienda, il database non protetto (che sembra ospitare solo file di immagini per l'azienda) contiene anche immagini di richiedenti e alcune proprietà che richiedono manutenzione.

Sia Vadix che CyberNews tentano di contattare LPM Property Management per garantire il loro database. Sfortunatamente, la società non ha risposto e abbiamo dovuto passare attraverso Amazon Web Services per risolvere il problema. Il database è ora protetto.

Quali dati sono presenti nel bucket

Questo particolare bucket sembra ospitare immagini al servizio di LPM. Dei 31.610 file contenuti nel database, solo 15 file non sono immagini.

I file includono:

  • Passaporti, sia scaduti che attivi, sia dalla Nuova Zelanda che dall'estero
  • Patenti di guida con numeri ID, stato dei donatori, indirizzi, DOB e nomi completi
  • Prova dei documenti di età
  • Immagini dei candidati
  • Immagini di proprietà danneggiata (etichettato "richieste di manutenzione")

Il modo in cui funziona LPM è che gestisce le proprietà di vari proprietari. Le immagini all'interno del database (generalmente archiviate sotto "candidati") sembrano essere proprietari o inquilini che fanno domanda per questo servizio. Sebbene abbiamo contattato LPM per chiarimenti su questo problema, non abbiamo ricevuto risposta.

Tuttavia, queste immagini dei "candidati" hanno vari documenti come prova di identità, la maggior parte dei quali sono patenti di guida e alcuni passaporti. Alcuni di questi passaporti provengono dall'esterno della Nuova Zelanda.

Chi aveva accesso al bucket?

Al momento non è chiaro chi abbia avuto accesso al bucket Amazon S3 esposto. Non è inoltre chiaro per quanto tempo è stato esposto il bucket. 

A causa del fatto che è estremamente facile accedere a questi tipi di file, è possibile che hackers abbiano potuto accedere alle informazioni in questo bucket e potenzialmente utilizzarle per scopi dannosi. Se ritieni che le tue informazioni fossero contenute nel database non protetto di LPM, ti consigliamo di impostare il monitoraggio del furto di identità e di cercare e-mail sospette, che potrebbero essere tentativi di phishing.

Qual è l'impatto?

Avere 30.000 passaporti e patenti di guida può essere una grande scoperta per molti malintenzionati online. Questo articolo si vende al valore di una scansione del passaporto a circa $ 14 sul darkweb, mentre un altro articolo pone il valore di una patente di guida a circa $ 20. Con questi prezzi, il bucket ha una fascia di prezzo di $ 442.540 - $ 632.200 (supponendo che i file siano tutti i passaporti o tutte e patenti di guida).

Con tali informazioni, gli hacker possono commettere un furto di identità, incluso stipulare prestiti o altri servizi a nome di queste vittime, o semplicemente utilizzare i dati come parte di campagne di phishing mirate.

In entrambi i casi, queste vittime stanno facendo trapelare dati personali.

Declan Ingram, vicedirettore di CERT NZ, che monitora le minacce in corso e pubblica attivamente avvisi relativi agli incidenti di sicurezza informatica, ha fornito alcuni consigli alle aziende:

“Un database non garantito può rappresentare un rischio enorme per la privacy e la sicurezza dei clienti. Oltre alle misure di sicurezza standard, come password complesse e autenticazione a due fattori, consigliamo alle aziende di considerare la segmentazione della propria rete, comprese le reti ospitate su cloud. Come parte di ciò, le aziende dovrebbero identificare informazioni sensibili sui propri sistemi e garantire che l'accesso a tali dati sia limitato solo ai sistemi o alle persone che ne hanno bisogno.

Garantendo che tutte le reti siano segmentate per controllare chi può accedervi, le aziende riducono la probabilità di accesso non autorizzato ai dati in tali sistemi. Ciò protegge l'azienda e i suoi clienti dalla perdita o il furto di informazioni riservate.

Può richiedere del tempo per segmentare una rete correnteCome punto di partenza, è meglio che le organizzazioni si concentrino su aree ad alto rischio per garantire la sicurezza delle informazioni importanti. Ciò include dispositivi con dati sensibili o dispositivi che controllano funzioni amministrative critiche".

Divulgazione

Abbiamo tentato di contattare LPM Property Management il 2 giugno, dopo che Vadix ha tentato di contattarli il 10 maggio. Tuttavia, non abbiamo ricevuto alcuna risposta dalla società. Per tale motivo, abbiamo contattato Amazon Web Services il 9 giugno. Sono entrati in contatto con il fornitore che sembra essersi rifiutato di risolvere il problema.

Dopo aver insistito sul fatto che questo tipo di dati non dovesse essere reso pubblico, Amazon è stato finalmente in grado di proteggere il database il 6 luglio.

Non abbiamo ricevuto alcun commento da LPM Property Management.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.