ITanalyze

یک شرکت‌ طرف‌سوم دولتی صدهزار درخواست حاوی داده‌های شناسنامه‌ا‌‌یِ افراد را در معرض دسترسی گذاشته است. این شرکت که کارش ارائه‌ی پلت‌فرمی آنلاین برای دولت‌های ایالتی –از جمله کالیفرنیا، نیویورک و تگزاس- است گنجینه‌ای از اطلاعات را در اختیار دارد که به ساکنین این مناطق اجازه می‌دهد از این سوابق حیاتی کپی بگیرند. شرکت امنیت اطلاعات Fidus طی تحقیقات خود به این موضوع پی برد که پایگاه اطلاعاتی توسط ذخیره‌گاه  یا «سطل ذخیره» خدمات وب آمازون (AWS) میزبانی می‌شده و درست همین بخش بود که بی هیچ حفاظی در جهانِ اینترنت قابل‌دسترسی قرار گرفته بوده است.
این سطل ذخیره بیش از 752 هزار درخواست در خود جای داده بود که شامل اسامی، آدرس، ایمیل، شماره تلفن، اطلاعات اعضای خانواده، تاریخ تولد و دلیلِ درخواست می‌شد. به نقل از خبرگزاری تک‌کرانچ –که داده‌ها را تأیید کرد- این سطل ذخیره هنوز هم در معرض دسترسی است و دارد به طور روزانه آپدیت می‌شود. در عرض یک هفته این سطل ذخیره چیزی حدود 9000 درخواست را به پایگاه اطلاعاتی خود اضافه کرد. شرکت دارنده‌ی سطل ذخیره‌ی مذکور به تماس‌های متمادی واکنشی نشان نداد؛ آمازون اعلام کرد به این شرکت هشدار خواهد داد اما به نقل از Fidus هنوز هیچ اقدامی در این راستا صورت نگرفته است. برای همین هم هست که شرکت مذکور تا به امروز نامش محرز نشده. تیمی مکی، مدیر بخش استراتژی امنیتی CyRC (مرکز تحقیقاتی امنیت سایبری) در ایمیلی چنین گفت، «اینکه تماس‌های پیاپی بی‌جواب گذاشته شده است نشان می‌دهد این شرکتِ خدماتی احتمالاً دارد از درجه‌ی بالایی از اتوماسیون در امورش کمک می‌گیرد که درکِ آن از میزان ارزشمندی اطلاعاتی که با آن‌ها سر و کار دارد بسیار محدود می‌باشد. امنیت‌دهیِ صحیح هر مخزن اطلاعاتی الزامی است اما دائماً شاهد این هستیم که شرکت‌ها این بخش خطیر را از لیست امور الزامی‌شان قلم گرفته و سرسری از آن گذشته‌اند».
این تازه‌ترین رخداد در خصوص باز گذاشتن داده‌ها بواسطه‌ی تنظیمات غلط کلود است که شاهدش هستیم. هفته‌ی گذشته کاشف بعمل آمد که صدها هزار قبض موبایل برای مشترکین AT&T، Verizon و T-Mobile -به لطف غفلت کنراکتوری که با Sprint کار می‌کرد- برای هر کسی که کانکشن اینترنت داشت باز و قابل‌دسترسی بود. بر طبق تحقیقات رسانه‌ای، این کنتراکتور ذخیره‌گاه کلود را روی AWS –که در آن بیش از 261,300 داکیومنت ذخیره شده بود- به شکل ناصحیحی تنظیم کرده بوده است. بیشترِ این داکیومنت‌ها قبض‌های موبایل مشتریان Sprint بود که از کریرهای دیگر به این اپراتور سوئیچ کرده بودند.

منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛