Victimele încălcării datelor permisului de conducere NSW încă în întuneric după trei luni – Securitate


Zeci de mii de oameni cărora li s-au expus detaliile permisului de conducere NSW într-o găleată AWS neconfigurată rămân în întuneric despre încălcare după mai mult de trei luni.

La sfârșitul lunii august, în jur 54.000 de permise de conducere NSW scanate au fost descoperite online de Bob Diachenko de la Security Discovery în timp ce investiga o altă încălcare a datelor.

Cele peste 108.000 de imagini din partea din față și din spate a licențelor scanate au fost amplasate într-o instanță S3 deschisă, care conținea, de asemenea, declarații legale completate de aviz de taxare.

După cum a raportat de iTnews, guvernul NSW a fost rapid exclus ca proprietar al cupei AWS S3, scurgerea fiind în schimb pusă pe seama unui terț nespecificat.

Cyber ​​Security NSW a confirmat ulterior că o entitate comercială era responsabilă, deși în acel moment nu i-au fost furnizate informații cu privire la identitatea entității de către AWS.

Se consideră că AWS a notificat entitatea când s-a închis cupa S3 după ce încălcarea a fost raportată la Centrul de securitate cibernetică australian în august.

Dar, în timp ce anchetele continuă, iTnews poate dezvălui Cyber ​​Security NSW încă nu știe identitatea entității sau dacă clienții entității au fost înștiințați cu trei luni în urmă.

„AWS … nu își va dezvălui proprietarul din cauza obligațiilor contractuale cu entitatea”, a declarat Cyber ​​Security NSW într-un comunicat.

„Prin urmare, guvernul NSW nu este conștient de identitatea entității comerciale și nici clienții NSW care ar fi putut fi afectați de încălcare.”

Purtătorul de cuvânt a adăugat că Cyber ​​Security NSW continuă să colaboreze cu agențiile de stat și federale pentru a determina identitatea entității și pentru a se asigura că clienții sunt informați.

Un purtător de cuvânt al AWS a spus că compania „a respectat o cerere din partea guvernului australian legată de această chestiune, conform cerințelor Legii privind confidențialitatea”.

AWS nu ar spune dacă știa că entitatea în cauză și-a notificat clienții.

Biroul comisarului australian pentru informații ar „confirma doar că părțile care fac obiectul anchetelor sunt entități comerciale”.

Deși nu este necesară notificarea în cazul în care încălcarea datelor nu este susceptibilă de a provoca daune grave, orice întârziere în acest proces poate lăsa clienții expuși la escrocherii și alte riscuri.

Incapacitatea autorităților NSW, în special, de a identifica proprietarul găleții, ridică, de asemenea, întrebări dacă guvernul ar trebui să poată interveni în cazul unei încălcări grave a datelor.

Cyber ​​Security NSW a declarat că guvernul „este dispus să ajute prin parteneriatul cu entitatea comercială pentru a sprijini clienții afectați, inclusiv în legătură cu comunicațiile”.

„Acest lucru ar permite acelor clienți să ia măsuri prompte pentru a minimiza riscul de prejudiciu ca urmare a accesului informațiilor lor personale de către terți”, a spus purtătorul de cuvânt.



Source link

Lasă un răspuns