Top menu

Утечка персональных данных из службы помощи жертвам насилия округа Лос-Анджелеса

Ошибка со стороны администратора, отвечающего за базу данных LA County 2-1-1 обнаружила 3.2 миллиона файлов, содержащих чувствительные данные, большая часть которых включает в себя персональную идентификацию звонивших на горячую линию помощи жертвам насилия.

Открытое облачное хранилище Amazon Web Services (AWS), содержало подробную информацию более 200 000 звонков на линию 211. Данные были в свободном доступе в течение неизвестного периода времени. Было обнаружено более 33 000 номеров социального страхования (SSN), более 300 000 адресов электронной почты и полные имена жертв, предполагаемых преступников и свидетелей в многочисленных случаях физического и сексуального насилия.

Мало того, хранилище S3 содержало «слабо хешированные» пароли для 384 логинов.

Уязвимость обнаружили путем поиска общедоступных AWS-хранилищ, содержащих файлы или папки со словом «county» в них. 

Основная причина подобных нарушений – лень и беззаботность. Аналогичные нарушения были обнаружены в базах данных NSA и Министерства обороны (оба вызваны тем же самым неправильным конфигурированием хранилища AWS S3).

Автор: Владимир Безмалый