Firma legal filtra 15,000 casos a través de la nube
Algunos documentos exponen aún más detalles de testigos, denunciantes y otras partes, incluida información detallada sobre accidentes, números de registro de vehículos, resultados de pruebas de alcoholemia, descripciones de lesiones y mucho más
Filtración de datos desde la nube
Una empresa de asesoría legal ha expuesto inadvertidamente datos sobre 15.000 casos relacionados con personas muertas o heridas en accidentes de tráfico después de una mala configuración de la nube.
Los investigadores del sitio de revisiones WizCase encontraron el bucket de AWS S3 que contiene 55.000 documentos abiertos de par en par. No requería autorización para ver el tesoro de 20 GB, lo que significa que cualquier persona con la URL podría haber accedido a información personal altamente confidencial, afirmó la firma.
WizCase rastreó los datos hasta İnova Yönetim, una consultora actuarial turca que analiza datos para ayudar a calcular el riesgo y las primas de seguros.
Después de ponerse en contacto con la empresa el 1 de octubre de 2020 y con AWS cinco días después, WizCase señaló que el servidor estaba protegido el 12 de octubre, aunque no se recibió respuesta de la consultora.
Para cada uno de los 15,000 casos judiciales, los investigadores encontraron información de identificación personal (PII) de la víctima, incluido el nombre, el número de identificación nacional, el estado civil y la fecha de nacimiento, junto con los detalles del seguro y del accidente.
Algunos documentos exponen aún más detalles de testigos, denunciantes y otras partes, incluida información detallada sobre accidentes, números de registro de vehículos, resultados de pruebas de alcoholemia, descripciones de lesiones y mucho más.
Los datos aparentemente se relacionan con casos entre el comienzo de 2018 y el final del verano de 2020.
Aquellos expuestos en el problema de la privacidad pueden correr el riesgo de que los estafadores realicen un seguimiento con correos electrónicos de phishing muy convincentes o llamadas telefónicas (vishing) diseñadas para engañarlos para que entreguen más información personal y financiera.
“Con algo de ingeniería social, los malos actores o los delincuentes podrían contactar a un operador [móvil], haciéndose pasar por la víctima, y verificar todo tipo de preguntas de verificación que los operadores harían para clonar una tarjeta SIM”, argumentó WizCase.
“Después de tener acceso a las llamadas telefónicas y los mensajes SMS de las víctimas, los malos actores podrían intentar hacer la misma operación con el seguro y el banco de los clientes”.
Los ciberdelincuentes también podrían usar los datos para intentar sobornar a los funcionarios y chantajear o amenazar a las personas, afirmó.
Autor / Redactor / Director
