image

Privégegevens verzekerden via onbeveiligde S3-bucket gelekt

woensdag 30 mei 2018, 14:59 door Redactie, 10 reacties

Een Amerikaans bedrijf dat software aan verzekeringsmaatschappijen levert heeft de gevoelige gegevens van duizenden verzekerden gelekt. De data werd in een onbeveiligde S3-bucket aangetroffen die voor iedereen op internet toegankelijk was, zo laat ZDNet weten.

Organisaties gebruiken S3-buckets om allerlei data in op te slaan. Standaard zijn de gegevens niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er zonder wachtwoord toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende. Dit was ook het geval bij de S3-bucket van AgentRun.

De bucket bleek allerlei data van verzekeringsmaatschappijen te bevatten, waaronder gegevens van verzekerden. Het ging om verzekeringsdocumenten met namen, adresgegevens, geboortedata en telefoonnummers. In sommige gevallen ging het ook om documenten met burgerlijke staat, etniciteit en salarisgegevens. Veel van de documenten bleken scans van identiteitsdocumenten te zijn.

Daarnaast werden er gevoelige gezondheidsgegevens aangetroffen, waaronder voorschriften, dosis en kosten. Na te zijn ingelicht werd de S3-bucket binnen een uur gesloten. Het bedrijf zegt dat het alle klanten en getroffen personen zal informeren. De afgelopen maanden hebben zich tal van datalekken via onbeveiligde S3-buckets voorgedaan.

Reacties (10)
30-05-2018, 15:46 door Anoniem
Zie hier de geneugten van de cloud. Als je in het "vroegere" datacenter tijdperk een bende van je toegangscontrole maakte, dan had niemand in de buitenwereld dat in de gaten. Nu kan iedere fout krantenkoppen tot gevolg hebben. Kennis en kunde van beheerders, duidelijke processen en strikte beheersing van je omgeving worden dus nog veel veel belangrijker dan dat het al was, ook vanwege de toegenomen complexiteit. We zullen nog vaak dit soort berichten tegenkomen, want ja, de cloud lost nou eenmaal niet al je problemen op (zoals veel managers wel hopen heb ik soms het idee).
30-05-2018, 16:08 door Anoniem
Ja leuk en prachtig allemaal en dat gaat in Nederland ook gebeuren en boetes enzo
Maar die boetes zijn voor het bedrijf ... niet voor diegene waarvan alle gegevens op straat liggen . .

Zullen we afspreken dat diegene waarover het gaat , per persoon dus minimaal 100.000€ per gegeven krijgt ?
Dus lekken volledige naam = 100.000
Lekken adres = 100.000
Lekken overig oplopend ?

En dat er een verplichte spaarpot komt voor dit soort bedrijven ?
Dat wanneer ze daardoor failliet gaan niet onder een andere naam verder gaan en dat er altijd een schadevergoeding beschikbaar is ?

Mag ook in crypto.
Oud geld is stervende.
30-05-2018, 16:40 door Tha Cleaner
zucht.... Alweer....

Kwestie van tijd voordat de volgende gemeld wordt. Als je ergens geen verstand van hebt, gebruik het dan ook niet.
30-05-2018, 18:05 door Anoniem
Ja die debielen (en niet jammeren over de woord keuze) van Cyberduck willen niet de standaard permissies wijzigen. Ik heb al twee keer gemeld, dat als je de software installeerd en iets upload, dat everyone read van toepassing is.
Het is dat ik (nog) geen team beschikbaar heb, anders zou ik het meteen forken, en anders doen.
30-05-2018, 19:05 door Anoniem
Door Anoniem: Ja leuk en prachtig allemaal en dat gaat in Nederland ook gebeuren en boetes enzo
Maar die boetes zijn voor het bedrijf ... niet voor diegene waarvan alle gegevens op straat liggen . .

Ja ben het met je eens, die boetes moeten terug vloeien naar de gebruikers.
30-05-2018, 19:19 door Anoniem
Door Tha Cleaner: zucht.... Alweer....

Kwestie van tijd voordat de volgende gemeld wordt. Als je ergens geen verstand van hebt, gebruik het dan ook niet.
Pfft zelfs iemand die er verstand van heeft weet dat alles gehackt kan worden... Denk aan facebook, die is ook al gehackt geweest, maar dat is jaren geleden ondertussen, de volgende fb hack komt nog wel eens opnieuw naar voren. Wees er maar van bewust, wanneer een fb scripter maar ook 1 tekentje mistypt in een belangrijk script kan de gehele server worden over genomen. Het is een kwestie van tijd.
30-05-2018, 20:11 door Anoniem
Dit is volledig off-topic, maar wel de moeite van het reageren waard.

Mag ook in crypto.
Oud geld is stervende.

Zéker niet! Er moeten nog meerdere generaties overheen gaan voordat de hele wereld, zelfs heel Nederland/Europa is overgestapt van wat jij 'oud geld' noemt naar cryptocurr.
30-05-2018, 22:16 door Anoniem
Keer op keer blijkt de cloud dus niet zo "non-public", als men voorgeeft dat ie is.

We konden hier toch op wachten, met zijn allen - op dat dit steeds vaker ging gebeuren.

Ga je iets "uit het zicht halen" via een veilige connectie zonder echte veiligheid erachter (hop, hop, hop op naar https-everywhere), dus zorgen voor meer " security through obscurity" met nog minder echte beveiliging, maar slecht te controleren, want het gebeurt allemaal achter onze digitale rug in de non-public cloud, met een mooie belofte van TRUST van de CDN in kwestie. Dus dan krijg je dit soort grappen, komma punt uit.

De verantwoordelijke CEO en manager(s) zijn tevreden. Tot er iets echt misgaat oogt het steeds goed en is het fijn graaien, maar de eindgebruiker is de pisang en vaak betaalt deze het gelag met zijn of haar private data, soms nog zijn OS of device.

Soms gaat het nog verder - aan de ene kant het genot en het profijt van de server voor de commercieel en de schade en de narigheid vandien afwentelen liefst op de gemeenschap. Het "gemeen"zal de last wel dragen, zo denkt de politicus bij verkeerde beslissingen immers steeds. Wij de vruchten en jullie de schillen en de dozen wegens het aangenaam verpozen.

Security mensen, die er voor waarschuwen sinds jaar en dag, hebben er geen verstand van, dat is te lastig, dat is niet interessant, dat is slechts een opinie, fake-iets, dat niet boeit. Dus voorlopig hoeven we niet te hopen, dat er structureel en fundamenteel iets gaat veranderen.

Uiteindelijk keert de wal het schip, maar dat duurt een g*dsganse tijd en geeft bij een groot multinational data-graai-bedrijf wel een enorme klap, want "too big too fail" en "we willen uw leuke cyberwereld beleving niet fataal ontwrichten, dus laat ons liever ons gang maar gaan, zoals we denken dat dat goed voor on en u is". Net als de "bankers van de Fed" in 2008, "bail us all out or apocalypse is near". Ik wil dus niet de cyber-apocalypse variant beleven - u wel dan?.

Jodocus Oyevaer
30-05-2018, 23:26 door Anoniem
Door Anoniem: Zullen we afspreken dat diegene waarover het gaat , per persoon dus minimaal 100.000€ per gegeven krijgt ?
Dus lekken volledige naam = 100.000
Lekken adres = 100.000
Lekken overig oplopend ?

Bestaan telefoonboeken nog? Die worden zo wel heel erg duur.
31-05-2018, 06:49 door Anoniem
Door Tha Cleaner: zucht.... Alweer....

Kwestie van tijd voordat de volgende gemeld wordt. Als je ergens geen verstand van hebt, gebruik het dan ook niet.
Ken je het Dunning-Krugereffect? Mensen die ergens geen verstand van hebben missen daarmee ook het vermogen om te beoordelen hoeveel meer erover te weten valt. Het resultaat is dat ze zelf niet doorhebben hoe incompetent ze op dat gebied zijn. Als je ergens geen verstand van hebt is de kans daardoor erg groot dat je jezelf zwaar overschat en het daarom wél gebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.