Durch Datenschutzverletzungen werden Zehntausende von NSW-Führerscheinen online angezeigt

| |

NSW Transport muss noch bis zu Zehntausende von Personen alarmieren, deren vollständige Führerscheindaten fälschlicherweise in einem offenen Cloud-Speicher offengelegt wurden.

Der Cache wurde letzte Woche von dem ukrainischen Sicherheitsberater Bob Diachenko entdeckt, der bei der Untersuchung eines weiteren Datenverstoßes auf das Verzeichnis gestoßen ist.

Der Speicherordner, von dem er sagte, dass er leicht zu finden sei, enthielt Back-and-Front-Scans von NSW-Lizenzen sowie Mautbenachrichtigungen, die im Cloud-Service von Amazon gehostet wurden.

Die Dokumente enthüllten Namen, Fotos, Geburtsdaten und Adressen von Fahrern, die Herr Diachenko als “gefährliche Exposition” bezeichnete.

Ein redigiertes Foto eines der NSW-Führerscheine, das in einem Cache mit online verfügbaren Dokumenten gefunden wurde.
Ein redigiertes Foto eines der NSW-Führerscheine, das in einem Cache mit online verfügbaren Dokumenten gefunden wurde.(Geliefert)

Er sagte, es sei nicht klar, wie lange die Dateien online zugänglich waren, aber angesichts des ungeschützten Datums sei es wahrscheinlich von “böswilligen Akteuren” angesehen worden, die bereits eine Kopie der Dateien hätten erstellen können.

“Ein böswilliger Schauspieler kann sich als jemand ausgeben und einen Kredit beantragen oder etwas für diese Person tun”, sagte er.

“Zum Beispiel nehmen Sie eine Lizenz und verbinden die Punkte mit einem Inhaber dieser Lizenz, wobei seine oder ihre E-Mails in einem anderen Datenverstoß offengelegt werden und Sie mehr Informationen über diese Person haben”, sagte er.

Eine redigierte Kopie eines der Mautformulare, die ein Sicherheitsrisiko darstellen könnte.Eine redigierte Kopie eines der Mautformulare, die ein Sicherheitsrisiko darstellen könnte.
Eine redigierte Kopie eines der Mautformulare, die ein Sicherheitsrisiko darstellen könnte.(Geliefert)

Er sagte, solche persönlichen Informationen würden üblicherweise auch über Online-Schwarzmärkte gehandelt, sobald sie in die Hände eines Verbrechers gelangen.

Eine Sprecherin von Transport for NSW sagte, die Sammlung von Akten habe nichts mit einem Regierungssystem zu tun.

“Transport for NSW speichert und sammelt keine Mautdaten in der beschriebenen Weise”, sagte sie.

“Transport for NSW arbeitet jedoch mit Cyber ​​Security NSW zusammen, um das mutmaßliche Datenproblem im Zusammenhang mit einem Amazon Web Services S3-Bucket zu untersuchen, der persönliche Informationen einschließlich Führerscheinen enthält.”

Der Amazon Web Services S3-Bucket ist der Open Cloud-Speicheranbieter.

Handelsgeschäft als Quelle beschuldigt

Das Büro des NSW-Datenschutzbeauftragten, der mit der Überwachung von Datenschutzverletzungen in den Abteilungen der Landesregierung beauftragt ist, sagte, die Daten seien offenbar mit einem nicht genannten Privatunternehmen verbunden.

“Der Datenschutzbeauftragte von NSW ist sich des Verstoßes bewusst und hat von Cyber ​​Security NSW eine vorläufige Unterrichtung über den Verstoß erhalten”, sagte eine Sprecherin.

“Der Datenschutzbeauftragte geht davon aus, dass ein Handelsunternehmen, das nicht mit der Regierung von New South Wales verbunden ist, für den Verstoß verantwortlich war.

“Der Verstoß ist nicht mit einer NSW-Regierungsbehörde oder einem NSW-Regierungssystem oder -prozess verbunden.”

Das australische Cyber ​​Security Center wurde ebenfalls benachrichtigt, und es wird davon ausgegangen, dass es sich an Amazon gewandt hat, um sicherzustellen, dass der Cache innerhalb von Stunden nach der Benachrichtigung offline geschaltet wurde.

Die Sprecherin von Transport for NSW sagte, einige Fahrer fordern einen neuen Führerschein an, wenn sie glauben, von Identitätsbetrug betroffen zu sein.

Eine Person hält ein Mobiltelefon in der Hand, wobei der Bildschirm für einen digitalen Führerschein mit Fahrerfoto geöffnet ist.Eine Person hält ein Mobiltelefon in der Hand, wobei der Bildschirm für einen digitalen Führerschein mit Fahrerfoto geöffnet ist.
iDrivers können neue Lizenzen anfordern, wenn sie Datenschutzprobleme vermuten.(NSW Regierung)

Troy Hunt, führender Cyber-Experte und Gründer des Tools für Datenschutzverletzungen Have I Been Pwned, sagte, dies sei eine ungewöhnliche und ungewöhnliche Art von Sicherheitsverletzung, und es könnte zu wenig und zu spät sein.

Herr Hunt sagte, auch wenn Transport NSW nicht schuldhaft sei, habe es die Verantwortung, das potenziell “Hochrisiko” -Leck offenzulegen, um seine Kunden zu schützen.

“Ich denke, es hätte eine Benachrichtigung geben sollen”, sagte Hunt.

“Ich würde auf eine Offenlegung drängen, weil es etwas ist, das ziemlich wichtig ist.”

Selbst wenn die Lizenzdetails wie die Kartennummer nicht direkt verwendet wurden, gab es dort “aussagekräftige Informationen” und es reichte aus, um Identitätsdiebstahl zu begehen.

Ein Beispiel, das er zur Verfügung stellte, wäre die Verwendung für “Social Engineering”, beispielsweise die Einrichtung eines gefälschten Facebook-Kontos, um Verwandte für Geld zu werben.

Er war besorgt über die Mautbenachrichtigungen mit E-Mails und Passwörtern, die letztendlich fast immer kompromittiert werden, weil reguläre Benutzer eine schlechte Sicherheitshygiene haben.

Sobald ein böswilliger Schauspieler die E-Mail-Adresse und das Passwort einer Person hatte, sagte er, sei ihre “Fähigkeit, weiterzumachen und Schaden anzurichten, enorm”.

.

Previous

Neues Betankungssystem von NCD-Polizei getestet

Angreifer versuchen, einen hochgradigen Nulltag in Cisco-Geräten auszunutzen

Next

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.