Разделы

Безопасность Стратегия безопасности Интернет Веб-сервисы

В облако Microsoft неизвестные выложили подробные данные о каждом втором домовладельце США

На сервере в облаке Microsoft Azure обнаружилась никак не защищённая база данных, содержавшая 24 гигабайта подробных данных о владельцах частных домов на территории США. Кому принадлежала эта база, непонятно.

Открыто всем ветрам

Двое экспертов компании VPNMentor обнаружили в облачной инфраструктуре Microsoft Azure обширную базу данных, на которой хранились данные более половины американских домохозяйств. Сервер с базой никак не был защищён, и, соответственно, все эти данные лежали в открытом доступе. Кто именно является арендатором сервера, пока остаётся загадкой.

База данных содержала весьма подробные сведения об отдельных домах и их владельцах - с именами, адресами, датой рождения и географическими данными.

Как отметили исследователи Ноам Ротем (Noam Rotem) и Ран Локар (Ran Locar), установить, кто составил эту базу, не удаётся, однако есть целый ряд характеристик, по которым можно строить обоснованные догадки. Эксперты отметили, что каждой записи в базе присвоен свой индивидуальный индекс, что, вероятно, означает, что базой владела фирма, занимающаяся страхованием, медицинским обслуживанием или ипотекой. С другой стороны, ничто, кроме ID, в пользу этой догадки не свидетельствует: никаких номеров социального страхования, платёжных сведений, номеров счетов, - ничего из этого в базе нет.

americanhouse600.jpg
Подробные данные о владельцах половины частных домов на территории США слиты в незащищенную базу данных

Поэтому эксперты предлагают всем желающим самим вычислить возможных владельцев базы: «Чьими услугами будут пользоваться 80 млн владельцев личных домов в США - и только в США? - И только люди за 40? Какая организация будет собирать данные о вашем статусе домовладельца и типе жилья, - но не станет интересоваться номером полиса социального страхования? И какая служба будет регистрировать ваш брачный статус, но не интересоваться наличием детей?»

Критически важных данных нет, но какая разница

Наиболее критичных данных, таких как номера полисов социального страхования или номера платёжных карт, в базе не было, даже приведённые в ней сведения могут представлять существенную угрозу для финансового благополучия перечисленных в ней лиц.

«Имена, фамилии и адреса - это достаточный объём информации для того, чтобы вычислить человека в социальных сетях, - говорит Александр Хамитов, эксперт по информационной безопасности компании SEC Consult Services. - А поскольку современные пользователи соцсетей, даже не самые молодые, имеют обыкновение выкладывать избыточное количество информации о себе, то через соцсети не так сложно выяснить и финансовое положение «объекта интереса»: живёт ли он в богатом районе или бедном, насколько хорош его дом и т.д. Все эти сведения вызовут живейший интерес и у онлайновых, и у традиционных преступников. 80 млн домохозяйств - это примерно 65% всех домовладений в США. Что бы ни представляла собой эта «тайная» структура, её деятельность должна быть весьма масштабной».

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД
Импортонезависимость

Роман Георгиев