Af Torben B. Sørensen, 22/08/17
Hotelbookingtjenesten Groupize lagrer data på Amazon Web Services, herunder datalagringssystemet S3. Som standard er data herpå beskyttet, så kun registrerede brugere kan tilgå dem. Men nogen har ændret på indstillingerne, så alle data var frit tilgængelige for alle, der prøvede at se dem.
Ifølge sikkerhedsfirmaet Kromtech lå der blandt andet knap 3.000 indscannede kontrakter og aftaler med betalingskortoplysninger. Groupize nægter, at der var fortrolige oplysninger i dataene.
Kromtech advarede Groupize om problemet den 9. august. Den 15. august blev adgangen til dataene spærret.
En lignende sag fandt sted på samme tid: Sikkerhedsforsker Chris Vickery fandt en sikkerhedskopi af data fra et firma, der leverer software til valg. Sikkerhedskopien rummede data om 1,8 millioner vælgere i Chicago-området.
Også her var data på et S3-lager gjort tilgængelige for alle via en menneskelig fejl.
Dataene blev fundet den 11. august. Firmaet fik besked dagen efter og lukkede for adgangen. De har været tilgængelige i flere måneder.
I juli blev data om tre millioner fans af amerikansk brydning på samme måde gjort offentligt tilgængelige på en ubeskyttet S3-tjeneste.
Anbefaling
Kontroller adgangskontrollen på data, I lagrer på cloud-tjenester.
Links
- Online Hotel Booking Service Allegedly Exposed Sensitive Data, Kromtech
- Meeting and Hotel Booking Provider’s Data Found in Public Amazon S3 Bucket, artikel fra Kaspersky Threatpost
- Open AWS S3 bucket leaked hotel booking service data, artikel fra The Register
- The Chicago Way: An Electronic Voting Firm Exposes 1.8M Chicagoans, UpGuard
- ES&S Confirms Discovery of Backup Data by Security Researcher
- Vendor Exposes Backup of Chicago Voter Roll via AWS Bucket, artikel fra Kaspersky Threatpost
- Leaky WWE Database Exposes Personal Data of 3M Wrestling Fans, artikel fra Kaspersky Threatpost