Zeker 600.000 bestanden van het Amerikaanse SL Data Services zijn op straat beland terwijl ze geen enkele bescherming hadden. Er zat geen encryptie en zelfs geen wachtwoorden op de bestanden. Hoe het kon dat de onversleutelde data gelek werden is nog steeds niet duidelijk.
Cybersecurity-onderzoeker Jeremiah Fowler vond de bestanden van SL Data Services (Propertyrec), dat achtergronden van mensen checkt, zat in een 713.1GB Amazon S3 bucket. Iedereen kon er zo bij. De bestanden bevatten de onversleutelde gegevens van duizenden mensen: van nummerplaten en identificatienummers van auto’s, eigendomsdocumenten van huizen, en zelfs strafdossiers. Er zaten ook oudere checks van antecedenten bij.
Vooral die checks van de antecedenten van mensen zaten vol met gevoelige gegevens. Volledige namen en adressen, telefoonnummers en mailadressen en zelfs gegevens van accounts op sociale media en cv’s. Vaak zaten er ook gegevens bij van familieleden.
SL Data Services zwijgt over onversleutelde gegevens
Fowler nam na de vondst contact op met SL Data Services, om de zaak op te helderen, maar kreeg geen antwoord. Sterker nog: in de tijd tussen de ontdekking van de bestanden en de veiligstelling van de gegevens groeide het bestanden met nog eens 150,000 bestanden. Hoe lang de bestanden op straat hadden gelegen was niet te achterhalen. En dus is ook niet duidelijk of, en zo ja hoeveel kwaadwillenden al toegang hadden tot de bestanden. Fowler ging met de ontdekking uiteindelijk naar Website Planet.
De ontdekking van de bestanden van SL Data Services was overigens niet de enige in de sector. Een paar maanden eerder lekte de National Public Data (NPD) gevoelige gegevens van 270 mensen. Daardoor ontstond toegang tot 277.1GB aan data met 2.9 miljard gegevens. Het bestand stond een tijd te koop op een hackersforum op het dark web voor 3,5 miljoen dollar. De gevolgen van het lek waren de doodsteek voor NPD, dat vorige maand faillissement aanvroeg.
Tip:
- Privacy onder vuur: risico’s van centrale taxi-database