Обновена на 31.10.2018 от Questo
Наскоро публикувах информация за скенер, с който могат да се откриват незащитени данни в облачната услуга на Amazon S3. Повечето данни там са публични така или иначе.
Някои обаче не са. Въпреки това те са видими, защото човекът, който ги е качил там, не е настроил правилно поверителността на акаунта си. Така че е напълно възможно човек да си рови из S3 и да попадне на чувствителни данни, които са напълно незащитени и видими от всеки.
И ето че през септември авторът на rainbowtabl.es (ако се вярва на профилната информация в GitHub името му е Джъстин и работи в Cloudflare) открива почти 1000 CSV файла с данни на клиенти на нигерийския превозвач Arik Air. Файловете съдържат над 54 хил. имена на клинеит, над 65 хил. имейл адреса, повече от 35 хил. IP адреса и други данни като информация за използвани преносими устройства, дата и цена на покупката, използвани разплащателни средства и т.н.
Комуникацията с Arik Air не дава кой знае какви резултати, твърди Джъстин. Успява да се свърже с авипревозвача по Facebook, но имейлите му остават без отговор. Не става ясно дали акаунтът е собственост на Arik Air или компания, с която превозвачът работи. В крайна сметка, след поредния имейл, изпратен на 24 септември, акаунтът вече е защитен и данните не са видими.
За самия Джъстин подобно нехайство е необяснимо. „Измамник може да използва тази чувствитлена информация, за да открадне идентичността на някой от клиентите на Arik Air. Той разполага с достатъчно полезни данни – име, имейл, първите 6 и последните 4 цифри от номера на кредитната му карта, както и информация, която би могла да бъде използвана, за да се прескочи двукатровната автентикация, ако клиентът използва такава“, посочва авторът.
Защо разказвам всичко това? Компаниите, които работят с клиентски данни, понякога нямат никаква идея как да ги пазят. Горният пример подкрепя тази теза. вярно е, че говорим за единични случаи, от които не може да се прави генерализация. Но това не е единственият подобен случай. Немарливостта към личните данни може да струва скъпо и на компаниите, и на техните клиенти. Това е урок, който фирмите е добре да научат възможно най-бързо.