Если вы живете в США и купили дом в течение последнего десятилетия, ваша информация может оказаться под угрозой. По данным TechCrunch, было выставлено более 24 миллионов ипотечных и банковских документов не один раз, а дважды.

Предоставленная информация включала соглашения об ипотечном кредите, графики платежей, номера телефонов заемщиков и другие важные финансовые данные..

Виновник? Единственный незащищенный сервер. Если вы думаете, что это плохо, то становится еще хуже: помимо размещения миллионов конфиденциальных документов, этот сервер даже не содержит пароля.

Другими словами, эта информация была доступна любому, у кого было пять секунд, чтобы открыть браузер и ввести URL-адрес..

Оставлять ценные вещи внутри с открытой дверцей

Указанные документы хранились в Ascension, сторонней компании, занимающейся данными и аналитикой. В публичном сообщении в блоге эксперт по информационным технологиям Боб Дьяченко, который впервые обнаружил публичный сервер, заявил, что было открыто более 24 миллионов записей..

Записи, насчитывающие более десяти лет, содержат колоссальные 51 ГБ данных оптического распознавания символов. Хотя этот тип текста легко читается невооруженным глазом, его можно легко проанализировать, чтобы разгласить личные детали.

«Эта информация станет золотым прииском для киберпреступников, которые будут иметь все необходимое для кражи личных данных, подачи ложных налоговых деклараций, получения займов или кредитных карт», – пишет Дьяченко..

Кредиторы понятия не имели, что эти документы существуют

На открытом сервере хранятся десятки тысяч финансовых документов из различных банков и учреждений, включая Wells Fargo, Capital One, HSBC Life Insurance, CitiFinancial и многие другие. Хотя информация была несколько зашифрована, ее было относительно легко реконструировать, особенно если человек использовал правильные инструменты.

Но вот главный момент: большинство банков официально заявили, что они не имеют никакого отношения к Ascension. Фактически, Wells Fargo официально заявил, что у него «нет отношений с Ascension с 2010 года.» HSBC сказал то же самое..

Это означает, что личные документы на жилье людей выскочили из разных компаний, несколько раз переходя из рук в руки – в некоторых случаях без первоначального финансового кредитора, даже не зная,– в конечном итоге попасть на веб-сайт, который почти пригласил незнакомцев в.

Обмани меня дважды, позор тебе

Экспозиция выглядит как открытый и закрытый корпус, верно? К сожалению нет. Через день после первоначального отчета Дьяченко обнаружил еще один незащищенный сервер, на котором размещались те же файлы. Этот сервер снова не включал блокировку паролем, и, что еще хуже, фактически перечислял все важные документы в виде простого текста.

Опять становится хуже. Файлы хранились на сервере хранения Amazon S3, который по умолчанию обеспечивает защиту паролем. Это означает, что сторона (или стороны), ответственная за размещение этих личных документов, добровольно деактивировала настройки защиты паролем..

Это все равно, что держать все свои деньги под матрасом, физически убирать входную дверь, а затем отправиться в недельный отпуск.!

Хорошо, если вы подумали, что с историей ипотечных документов, которую мы портили, все может стать хуже, вы ошибаетесь. Я нашел открытую корзину компании OPEN S3, полную отсканированных документов, которые использовались для распознавания текста => Elasticsearch… @zackwhittaker расскажет больше за секунду

– Боб Дьяченко (@MayhemDayOne) 24 января 2023 года

Стоит отметить, что, как и первый кеш данных, в этот также включены W-2 и другие важные финансовые документы. К сожалению, также невозможно определить, как долго эта информация была раскрыта или какие стороны ее просматривали..

«Я бы предположил, что после такой рекламы, как у этих ребят, первое, что вы должны сделать, это проверить, не работает ли ваше облачное хранилище или, по крайней мере, защищено паролем», – сказал Дьяченко..

Очевидно нет.

Шаги, чтобы помочь защитить вашу информацию

Хотя вполне возможно, что никакого вреда не было, готовиться никогда не повредит. Если вы живете в США и купили дом в последнее десятилетие, вы можете потратить несколько минут, чтобы просмотреть последние кредитные отчеты, чтобы узнать, есть ли какие-либо серьезные изменения..

Рекомендуется также включить двухфакторную аутентификацию в различных учетных записях. Настроив второй способ входа в систему, третьи лица не смогут войти в различные учетные записи, даже если у них есть вся ваша информация.

Кроме того, важно дважды проверить все адреса электронной почты, прежде чем открывать вложение. Имея под рукой части вашей личной информации, хакеры, как известно, рассылают вредоносные электронные письма, замаскированные под репутацию компании, в которых часто упоминаются конкретные данные (например, ваше имя пользователя, пароль и т. Д.), А затем призывают получателя изменить (или подтвердить) их пароль, открыть вложение и многое другое.

Если вы не знаете получателя – или если электронная почта автоматически помечается как подозрительная – лучше всего подойти с осторожностью.

Пока эта история находится в стадии разработки, она служит предостерегающей историей, позволяющей всегда включать ваш пароль и параметры безопасности. Поскольку вы не можете доверять случайной компании в защите ваших личных данных, вы сами можете взять свою конфиденциальность в свои руки.