Güvensiz Amazon S3 Paketi, 500.000 Ganalı Mezunun Kişisel Verilerini ifşa Etti
Amazon S3 bulut depolama yanlış yapılandırması, hassas verilere açık erişim sağladı.
Gana'daki yetkililer, Batı Afrika ülkesinin yüz binlerce vatandaşının kişisel bilgilerini ifşa etmiş olabilecek açık bir veri ihlalini araştırıyorlar .
vpnMentor'daki araştırmacılar, Amazon Web Services'in (AWS) bir depolama silosunda Gana Ulusal Hizmet Sekreterliğine (NSS) bağlı şifrelenmemiş bir veri hazinesi keşfettiklerini söylüyorlar .
NSS, çoğu Ganalı mezun için zorunlu olan ve 12 ay boyunca sağlık ve eğitim gibi sektörlerde çalışan binlerce genci bir ulusal hizmet biçimi olarak içeren bir yıllık zorunlu kamu hizmetleri programlarını yönetir .
VpnMentor, NSS'nin çalışmalarıyla ilgili ve bir AWS S3 klasöründe tutulan üç milyon dosyanın bir kısmının parola korumalı olduğunu, ancak birçoğunun parola korumalı olmadığını söyledi.
Bulut depolama yanlış yapılandırması
AWS S3 paketinin kendisi ne şifrelenmiş ne de parola korumalıydı. Örnek yanlış yapılandırılmış ve hassas parola korumalı dosyaların açık sürümlerine diğer dizinlerde, vpnMentor raporlarında erişilebilir olması için parola koruması tutarsız bir şekilde uygulandı.
Bulut tabanlı depolama sisteminde tutulan bilgiler arasında kişisel bilgiler, kimlik kartları ve resimlerin taranması ve ayrıca istihdam kayıtları yer aldı. Aynı pakette ayrıca NSS'den alınan istihdam bildirimleri ödeme makbuzları ve iç yazışma dosyaları da vardı.
Açığa çıkan bilgiler potansiyel olarak binlerce Ganalıyı kimlik avı , vergi sahtekarlığı ve diğer kimlik sahtekarlığı biçimlerine karşı daha büyük bir risk altında bıraktı .
vpnMentor'dan araştırmacılar, belgelerin birçoğunun NSS logosunu ve şemayla doğrudan ilgili metni içerdiğini söyledi.
Olay (önerilen iyileştirme tavsiyesiyle birlikte) hem NSS'ye hem de Gana'nın Bilgisayar Acil Müdahale Ekibine (GH-CERT) bildirildi.
Daily Swig , olayla ilgili yorum yapmak için GH- CERT'ye başvurdu. Yanıt olarak, GH-CERT iddia edilen ihlalin soruşturma altında olduğunu doğruladı:
Bahsettiğiniz rapor ilgili mercilerde inceleniyor.
Operasyonel prosedürler ve en iyi uygulamalarla tutarlı olarak, Siber Güvenlik Otoritesi soruşturma altındaki konular hakkında yorum yapamaz.
VpnMentor iddia edilen ihlali ilk olarak 29 Eylül'de keşfetti ve yetkilileri 6 Ekim'de biraz uzun bir ifşa sürecinin başlangıcında bilgilendirdi.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
