Una empresa en línea que permite a los usuarios obtener una copia de sus certificados de nacimiento y defunción de los gobiernos estatales de EE. UU. Ha expuesto una gran cantidad de aplicaciones, incluida su información personal.
Se encontraron más de 752,000 solicitudes de copias de certificados de nacimiento en un depósito de almacenamiento de Amazon Web Services (AWS). (El paquete también tenía 90.400 solicitudes de certificado de defunción, pero no se podía acceder a ellas ni descargarlas).
El depósito no estaba protegido con una contraseña, lo que permitía a cualquiera que conociera la dirección web fácil de adivinar el acceso a los datos.
Cada proceso de solicitud difería según el estado, pero realizaba la misma tarea: permitir que los clientes soliciten a la autoridad de mantenimiento de registros de su estado, generalmente el departamento de salud de un estado, para obtener una copia de sus registros históricos. Las solicitudes que revisamos contenían el nombre del solicitante, fecha de nacimiento, domicilio actual, dirección de correo electrónico, número de teléfono e información personal histórica, incluidas las direcciones anteriores, los nombres de los miembros de la familia y el motivo de la solicitud, como solicitar un pasaporte. o investigando la historia familiar.
Las solicitudes de copias de certificados de nacimiento de muchos estados de EE. UU., Incluidos California, Nueva York y Texas, se dejaron en línea (Imagen: TechCrunch)
Las aplicaciones databan de fines de 2017 y el cubo se actualizaba diariamente. En una semana, la compañía agregó alrededor de 9,000 aplicaciones al paquete.
Compañía de pruebas de penetración con sede en el Reino Unido. Seguridad de la información de Fidus Encontré los datos expuestos. TechCrunch verificó los datos haciendo coincidir los nombres y las direcciones con los registros públicos.
Fidus y TechCrunch enviaron varios correos electrónicos antes de la publicación para advertir sobre los datos expuestos, pero solo recibimos correos electrónicos automatizados y no se tomaron medidas. No estamos nombrando a la empresa. Cuando llegó, Amazon no intervendría pero dijo que informaría al cliente.
También nos comunicamos con la autoridad local de protección de datos para advertir sobre el lapso de seguridad, pero no hizo comentarios de inmediato.
Lee mas: