Etiqueta: escaneos

Miles de escaneos de pasaportes sin garantía encontrados en línea | Noticias y opiniones


Según un equipo de investigación de vpnMentor, los archivos confidenciales de miles de empresas de consultoría británicas no se han protegido en la nube de Amazon, incluidos los escaneos de pasaportes, las solicitudes de empleo y documentos fiscales

En una publicación de blog, vpnMentor explicó cómo el equipo localizó una base de datos de cubo S3 de Amazon Web Services (AWS) llamada "CHS". El almacenamiento de archivos de esta manera es popular, pero requiere que los usuarios implementen sus propios protocolos de seguridad, lo cual no han hecho aquí.

VpnMentor rastreó la base de datos hasta una empresa de consultoría con sede en Londres llamada CHS Consulting, pero la empresa no tiene un sitio web, por lo que VpnMentor no pudo confirmar que CHS realmente posee la base de datos. .

Dentro de la base de datos había archivos que datan de 2011, aunque la mayoría data de 2014 y 2015 y están vinculados a empresas que han desaparecido desde entonces, incluidos Dynamic Partners, Garraway Consultants, Partners Associates Ltd y Winchester Ltd, así como Eximius Consultants Limited e IQ Consulting, ambas operan.

Además de los pasaportes y la información fiscal, los documentos en la base de datos incluían comprobante de domicilio, verificaciones de antecedentes exhaustivas, antecedentes penales, formularios de gastos y beneficios, documentos relacionados con impuestos y en el HMRCHM Ingresos y Aduanas), contratos escaneados con firmas, información salarial, mensajes privados y un contrato de préstamo.

Las personas perjudiciales podrían haber tenido acceso a miles de registros financieros, números de seguros nacionales, códigos impositivos, etc. VpnMentor dice que "solo dos archivos de la misma compañía contenían una gama completa de datos PII (información de identificación personal)".

La responsabilidad de esta violación de datos no recae en los pies de Amazon, incluso si la empresa administra el servidor. Amazon proporciona instrucciones sobre cómo proteger los cubos S3, y son seguros de forma predeterminada, por lo que hacer públicos los datos suele ser un problema causado por el propietario de la cuenta.

Amazon ha asegurado o desconectado los datos, dependiendo de cableada, pero no reveló qué empresa fue responsable del defecto, por lo que es imposible informarlo a la oficina del Comisionado de Información, un organismo público británico responsable de la protección de datos.

VpnMentor informó los datos al Centro Nacional de Seguridad Cibernética (NCSC), pero la agencia no respondió durante un mes porque el correo electrónico se envió a la carpeta de spam del NCSC, dicen Noam Rotem y Ran Locar, quienes lideraron el equipo de investigación vpnMentor.

Esta noticia nos recuerda que no importa cuán segura sea su información, las compañías aún no hacen la debida diligencia. Esta ruptura más reciente es "probablemente una combinación de ignorancia y falta de responsabilidad, simplemente no les importa", dice Rotem.