Nok en gang er store deler av den amerikanske befolkningen berørt av en massiv lekkasje av data som stammer fra et kredittvurderingsselskap. Denne gangen er det ikke kredittvurderingsselskapet selv, Experian, som har direkte skyld i lekkasjen, men en partner, analyseselskapet Alteryx.
Dataene ble funnet av Chris Vickery, en direktør for sikkerhetsforskning hos selskapet UpGuard, den 6. oktober i år. Han fant da et S3-lagringsområde hos Amazon Web Services (AWS) som var tilgjengelige for alle innloggede AWS-brukere.
Les også: Blottla personopplysninger om 40 prosent av USAs befolkning
Gjelds- og kontaktinformasjon
Datasettet består av en blanding av offentlig kjente detaljer og mer følsom informasjon. I alt skal det dreie seg om milliarder av datapunkter om personer i 123 millioner ulike husholdninger. Det vil si at så godt som alle amerikanske husholdninger er representert. Datasettet er tilsynelatende fra 2013.
Dataene skal ikke inneholde personnavn, men bostedsadresser og telefonnummer er inkludert, noe som ofte er tilstrekkelig til å identifisere enkeltpersoner. Ifølge UpGuard inneholder dataene også blant annet informasjon om gjeld, finanshistorikk, estimert inntekt og analyser av den enkeltes kjøpshistorikk og interesser. Blant annet er det egne kolonner for kategorier som «bokkjøper» og «katteentusiast», for å nevne noe.
På det samme lagringsområdet skal det også ha blitt funnet data fra US Census Bureau om folketellingen som ble gjennomført i USA i 2010. Ingenting av dette er unntatt offentlighet, og mye av det er uansett tilgjengelig på denne siden.
ConsumerView
Dataene fra Experian er skaffet til veie på en lovlig måte, da de er inkludert i et produkt som selskapet selger under navnet ConsumerView. Experian markedsfører det som verdens største forbrukerdatabase.
Med lagring av store mengder personopplysninger følger også et ansvar for å sikre dem. Selv om man kan håpe på at Experian har sikret selskapets verdier på en god måte, kan en ifølge UpGuard ikke gå ut fra at det samme alltid vil gjelde selskapets partnere og kunder. Som alltid er det det svakeste leddet som er det avgjørende.
– Dette er et enormt problem som dagens IT-landskap i dag står overfor. Som det fremgår av mange tidligere dataeksponeringer, mangler de fleste virksomheter muligheten til å vurdere eksterne leverandørers holdning til sikkerhet. Selv om virksomheten selv opprettholder høye standarder knyttet til endringsvalidering og -administrasjon, inviterer de risiko dersom de ikke kan være sikre på at partnerne håndterer dataene deres på tilsvarende måte, skrive UpGuard i en artikkel om lekkasjen.
Ingen fare?
Til Forbes opplyser Alteryx at selskapet skal ha sikret dataene i forrige uke. Selskapet forsøker å tone ned hvor alvorlig denne lekkasjen har vært.
– Alteryx sikret området, fjernet filene filene og har gjort tiltak for å hindre at dette skjer i framtiden. Alteryx har bekreftet at filene ikke inneholdt navn på noen enkeltindivider eller annen personidentifiserende informasjon, sier en talsperson for selskapet.
Det sistnevnte er det delte meninger om.
– Personinformasjon på tvers av ulike felter, slik som adresser og bankinformasjon, kan enkelt bringes i samsvar med navn, opplyser Atiq Raza, CEO i IT-sikkerhetsselskapet Virsec System, til Bleeping Computer. Han mener at mangelen på navn alene ikke utgjør noe problem for eventuelle angripere.
Også Vickery selv er uenig.
– Dette er utrolig villedende. Jeg forstår ikke hvordan noen kan hevde at det er ikke er noen risiko her. Adresser, telefonnumre, bankiinformasjon, etnisitet, etc, er alt oppgitt. Det er mye skade som kan gjøres med denne informasjonen, hevder han overfor Forbes.
Ikke alene
UpGuard har ved flere anledninger de siste månedene avslørt omfattende datalekkasjer som i stor grad skyldes manglende sikring.
I september fant nevnte Vickery et annet S3-lagringsområde, konfigurert for offentlig aksess, som inneholdt gradert materiale fra United States Army Intelligence and Security Command (INSCOM), som skal være tilknyttet både NSA og den amerikanske hæren. Interessant nok bruker nettstedet til INSCOM et ugyldig sertifikat, samtidig som at all trafikk omdirigeres til HTTPS.
Leste du denne? Vegvesenet stoppet mulighet for datalekkasje
