Stemcomputerfabrikant lekt gegevens 1,8 miljoen stemmers VS
De Amerikaanse stemcomputerfabrikant Election Systems & Software (ES&S) heeft de persoonlijke gegevens van 1,8 miljoen stemmers uit Chicago gelekt. Het bedrijf had een back-up met de gegevens onbeveiligd bij de cloudopslagdienst van Amazon opgeslagen.
Het gaat om namen, adresgegevens, geboortedata, gedeeltelijke social security nummers en in sommige gevallen ook rijbewijs- en staatsidentiteitsnummers. De back-upbestanden bevatten geen stembiljetinformatie, stemresultaten en hadden geen impact op de verkiezingsuitslag, aldus ES&S. De stemcomputerfabrikant is door de stad ingeschakeld om de elektronische pollbooks te beheren, die gegevens van geregistreerde kiezers bevatten.
De Amazon Web Services S3-bucket die de back-upbestanden bevatte was voor heel het internet toegankelijk. Alleen het kennen van de url was voldoende om toegang tot de bestanden te krijgen. De S3-bucket werd op 11 augustus door een onderzoeker van securitybedrijf UpGuard ontdekt. Er werden drie bestanden gevonden die bij elkaar 16GB groot waren en de gegevens van 1,8 miljoen stemmers uit Chicago bleken te bevatten. Een dag later waarschuwde het securitybedrijf de autoriteiten, die vervolgens ES&S waarschuwden. Nog dezelfde dag werden de bestanden veiliggesteld en de S3-bucket uitgeschakeld, zo laat de stemcomputerfabrikant weten.
Nu vraag ik me af, of dit allemaal door stage lopers gedaan worden ofzo. Want echt, hoe dom ben je als je denkt dat iets met een rare url online staat niet gevonden gaat worden. Security through obscurity is echt al 10 jaar dood.
Maar goed, we zeggen sorry en gaan gewoon verder alsof er niets gebeurd is.
TheYOSH
Security through obscurity is echt al 10 jaar dood.
Maar goed, we zeggen sorry en gaan gewoon verder alsof er niets gebeurd is.
TheYOSH
Ik snap niet dat ze op S3 toelaten dat je bestanden anoniem en publiek kan downloaden.
Er is natuurlijk wel een andere kant van het verhaal, dus als iemand mijn stelling kan nuanceren hoor ik het graag.
Probeer eens verder dan de titel te lezen voor je vragen stelt en gaat beschuldigen, want je antwoord staat halverwege de tekst.
Ik snap niet dat ze op S3 toelaten dat je bestanden anoniem en publiek kan downloaden.
Er is natuurlijk wel een andere kant van het verhaal, dus als iemand mijn stelling kan nuanceren hoor ik het graag.
Dat is volgens mij geen default op Amazon S3. Alleen wanneer je het expliciet instelt is dat het geval.
Toch is het deze gebruiker/bedrijf gelukt om "Anonymous Access" in te stellen.
Erg vreemd, dat als je S3 als veilig neer zet, dat je het vervolgens onveilig kan gebruiken.
Probeer eens verder dan de titel te lezen voor je vragen stelt en gaat beschuldigen, want je antwoord staat halverwege de tekst.
Maar dan nog blijft de vraag van 'anoniem 18-08-2017, 15:39' terecht; waarom heeft men een _fabrikant_ geselecteerd voor het beheer van deze systemen met deze gegevens. Te gek voor woorden!
Ik snap niet dat ze op S3 toelaten dat je bestanden anoniem en publiek kan downloaden.
Er is natuurlijk wel een andere kant van het verhaal, dus als iemand mijn stelling kan nuanceren hoor ik het graag.
Dat is volgens mij geen default op Amazon S3. Alleen wanneer je het expliciet instelt is dat het geval.
Toch is het deze gebruiker/bedrijf gelukt om "Anonymous Access" in te stellen.
Erg vreemd, dat als je S3 als veilig neer zet, dat je het vervolgens onveilig kan gebruiken.
Als jij een webserver hebt draaien, en je uploadt je files daarheen dan kan iedereen daar gewoon bij. Snap je opmerking niet echt? tenij je bedoelt dat je geen anonymous ftp toegang kunt instellen, dan heb je misschien gelijk. Maar er wordt in het artikel gezegd dat het kennen van een URL genoeg was om bij de gegevens te kunnen. Dat impliceert dus een open webserver.
Ik snap niet dat ze op S3 toelaten dat je bestanden anoniem en publiek kan downloaden.
Er is natuurlijk wel een andere kant van het verhaal, dus als iemand mijn stelling kan nuanceren hoor ik het graag.
Dat is volgens mij geen default op Amazon S3. Alleen wanneer je het expliciet instelt is dat het geval.
Toch is het deze gebruiker/bedrijf gelukt om "Anonymous Access" in te stellen.
Erg vreemd, dat als je S3 als veilig neer zet, dat je het vervolgens onveilig kan gebruiken.
Als jij een webserver hebt draaien, en je uploadt je files daarheen dan kan iedereen daar gewoon bij. Snap je opmerking niet echt? tenij je bedoelt dat je geen anonymous ftp toegang kunt instellen, dan heb je misschien gelijk. Maar er wordt in het artikel gezegd dat het kennen van een URL genoeg was om bij de gegevens te kunnen. Dat impliceert dus een open webserver.
Webserver=Amazon AWS S3 Storage. Een Cloud die door honderden instanties gecertificeerd is.
Maar ze laten bij AWS onwetende gebruikers dus gewoon bestanden opslaan die publiek en anoniem te benaderen zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
