La fuite de données de LA County expose les informations personnelles des appelants à la ligne de crise et d'abus

Une erreur de la part de la personne responsable de la base de données du système 2-1-1 du comté de Los Angeles a révélé que 3,2 millions de fichiers contenaient des données terrifiantes – dont une grande partie comprend des renseignements personnels sur les appels aux victimes d'abus et de crises.

Seau Amazon Web Services (AWS) S3 (essentiellement, stockage en nuage) contenant des informations détaillées provenant de plus de 200 000 appels à la ligne 2-1-1 du comté, une ligne directe qui fournit une assistance aux victimes d'abus et aux personnes en crise (parmi d'autres fonctions liées à la santé et aux services humains), a été configuré pour un accès public – pour une période inconnue – jusqu'à ce qu'un chercheur de sécurité privé le remarque

La fuite a révélé plus de 33 000 numéros de sécurité sociale, plus de 300 000 adresses électroniques et les noms complets des victimes, auteurs présumés et témoins de nombreux cas présumés de violence physique et sexuelle. 19659002] Si cela ne suffisait pas, le seau S3 contenait des mots de passe "faiblement hachés" pour 384 connexions. Toute information qu'un mauvais acteur n'aurait pas pu obtenir du contenu du seau aurait pu être accessible en se connectant au système LA County 2-1-1 LinQ en utilisant ces informations d'identification.

l'incident a été signalé plus tôt cette semaine, le seau aurait été sécurisé. Mais comme toutes les autres violations de cette nature, au moment où le problème est découvert, il n'y a tout simplement aucun moyen de savoir si de vrais dommages ont été causés.

Lorsque vous traitez des informations détaillées accusant des personnes potentiellement violentes de choses telles que la maltraitance des enfants et le viol, toute violation de la sécurité met en danger la vie des personnes qui, souvent, sont les plus vulnérables parmi nous. Ce type de violation – essentiellement un informaticien qui oublie de sécuriser le seau après avoir fait quelque chose qui nécessite une mise à jour temporaire – est évitable à 100%.

Comme nous l'avons déjà dit: les mauvais employés

Chris Vickery, un analyste des risques cybernétiques pour la firme de cyber-résilience UpGuard a découvert la vulnérabilité en cherchant des seaux AWS publiquement accessibles contenant des fichiers ou des dossiers contenant le mot «county». . Comme c'est le cas avec toutes les vulnérabilités qu'il expose, tout ce dont il avait besoin pour accéder à l'information était un vieux navigateur internet.

Si un "pirate" peut utiliser IE, Chrome, Firefox Opera, ou Safari, ils ont tous les outils dont ils ont besoin pour "pirater" ces seaux AWS. Pire encore: Amazon a pris des mesures pour atténuer ce type de problème mais il persiste encore.

Nous avons parlé à Vickery du problème, dont il gagne sa vie en flairant. Il croit que c'est juste la nature humaine:

Tu dois faire en sorte que les gens ne puissent pas bousiller. Parce que si les gens peuvent bousiller, un certain pourcentage d'entre eux le fera. Ce sont des statistiques simples.

Vickery sait de quoi il parle. Il a trouvé des violations similaires dans les bases de données NSA et du Département de la Défense (toutes deux causées par le même type de configuration incorrecte du seau AWS S3). Il dit que nous sommes toujours dans la phase de triage quand il s'agit de ces types de violations – ce qui signifie qu'ils continueront à se produire jusqu'à ce que quelqu'un trouve un moyen de rendre impossible aux administrateurs de ne pas faire ce qu'ils ont à faire. assurez-vous qu'un compartiment AWS n'est pas accessible au public: rendez-le inaccessible au public. Fondamentalement, le mieux que nous puissions espérer est que les bons comme lui trouvent les failles avant que les mauvais acteurs ne le fassent. Et c'est terrifiant.

Tout le monde fait des erreurs, mais toutes les erreurs ne peuvent conduire à exposer des dizaines de milliers de victimes, leurs familles et leurs témoins à des conséquences impensables. Le gouvernement – à tous les niveaux – continue de montrer qu'il a peu de capacité à protéger nos données.

Pour sa part, LA County enquête et effectue un audit de sécurité – une preuve supplémentaire de la meilleure façon de décrire l'état de préparation à la cybersécurité dans ce pays en tant que "réactionnaire".

La conférence 2018 du Next Web est à quelques jours d'ici, et ce sera ??. Pour tout savoir sur nos pistes ici

LA Confidential: Comment les dossiers d'appels d'urgence fauchés sont exposés Les victimes d'abus et de crise du comté de LA
on UpGuard

Read next:

: L'aspirateur Cyclone V10 de Dyson coûte 500 $ de trop, mais je l'aime quand même