Carteiras de motorista australianas expostas na nuvem
Não está claro quem é o proprietário dos dados e se os afetados serão notificados
Varreduras de 54.000 carteiras de motorista australianas foram expostas em um serviço aberto na Amazon Simple Storage Service, ou S3, de acordo com um pesquisador de segurança, mas não está claro se os afetados serão notificados.
Os dados foram encontrados por Bob Diachenko , que dirige o Security Discovery . Diachenko freqüentemente encontra dados expostos publicamente em depósitos S3. Uma captura de tela de alguns dos dados indica que eles podem ter sido digitalizados em 2018.
A exposição foi encerrada logo após Diachenko notificar o especialista australiano em praias de dados Troy Hunt , que notificou o Australian Cyber Security Center. A exposição foi relatada pela primeira vez pela iTNews .
As instâncias de armazenamento S3 expostas há muito são uma fonte de violações de dados. As instâncias costumam ser mal configuradas, o que pode resultar na exposição dos dados à Internet. Mecanismos de pesquisa especializados, como o Shodan, podem ser usados para localizar buckets configurados incorretamente.
O Office of the Australian Information Commissioner, que supervisiona as questões de proteção de dados, afirma estar ciente de uma possível violação de dados envolvendo carteiras de habilitação. Se a organização que expôs os dados estiver coberta pela Lei de Privacidade, “eles devem notificar as pessoas afetadas e a OAIC o mais rápido possível”, diz o escritório.
“Embora não possamos comentar sobre os detalhes, esperamos que qualquer organização aja rapidamente para conter uma violação de dados envolvendo informações pessoais e avaliar o impacto potencial sobre as pessoas afetadas”, disse um porta-voz do escritório.
Dados Expostos
Os dados expostos incluem 108.535 digitalizações da frente e do verso das carteiras de motorista de New South Wales, que listam datas de nascimento, endereços físicos e números de carteira de motorista.
Os dados também incluem documentos preenchidos chamados de “declarações legais” em arquivos .jpg ou .pdf. Os motoristas registram essas declarações quando desejam contestar as notificações de pedágio não pagas, como se outra pessoa estivesse dirigindo seu veículo no momento da violação.
Transport for NSW, uma agência governamental, diz que está investigando a exposição junto com a Cyber Security NSW, que é a agência de segurança cibernética do estado.
“Embora seja sempre importante para os detentores de licença estarem cientes da privacidade ao fornecer suas informações pessoais sensíveis a outras partes, Transport for NSW reconhece que alguns terceiros solicitam rotineiramente informações de carteira de motorista como parte de suas práticas comerciais”, disse a agência.
A Comissão de Informação e Privacidade de NSW afirma estar ciente da violação e recebeu uma instrução da Cyber Security NSW.
“O comissário de privacidade entende que uma empresa comercial, não ligada ao governo de NSW, foi responsável pela violação”, disse o comissário. “A violação não está associada a uma agência governamental de NSW ou a qualquer sistema ou processo governamental de NSW.”
O comissário de privacidade não identificou a empresa envolvida e não está claro se as pessoas afetadas serão notificadas. O estado de New South Wales usa pelo menos um empreiteiro privado para pagamentos eletrônicos de pedágio. Um desses contratantes é a Linkt, que faz parte da empresa Transurban. Um porta-voz da Linkt disse que a empresa está ciente do incidente, mas não é responsável pela exposição.
Uma chamada para divulgação completa
Hunt, o criador do site de notificação de violação de dados Have I Been Pwned , diz que os dados são confidenciais e a exposição precisa ser divulgada.
Sanjana sarda
“É preciso haver algum tipo de ação de uma forma ou de outra”, diz Hunt.
A coleta de dados da carteira de motorista em uma violação como essa pode resultar em esquemas de roubo de identidade. Transport for NSW diz que pode reemitir carteiras de motorista daqueles que são afetados por fraude de identidade em uma base caso a caso.
Ao verificar se alguém é quem diz ser, muitas agências do governo australiano usam um sistema de pontos. Uma certidão de nascimento ou passaporte geralmente tem o maior número de pontos, enquanto as carteiras de motoristas geralmente ocupam o segundo lugar, com extratos bancários e avisos de serviços públicos os mais baixos.
A Austrália exige notificação obrigatória de violações de dados relacionadas a dados pessoais de uma forma que pode resultar em danos graves. A OAIC pode avaliar multas por descumprimento de até $ 2,2 milhões de dólares australianos ($ 1,6 milhão) (veja Austrália Promulga Lei de Notificação de Violação Obrigatória )
Fonte: https://www.databreachtoday.com/australian-drivers-licenses-exposed-on-s3-bucket-a-14918
