Un rivenditore di usato in elettronica con sede negli Stati Uniti ha esposto oltre 2,6 milioni di file, comprese carte d’identità e immagini biometriche, dopo che è stato scoperto un bucket AWS S3 configurato in modo errato.
I ricercatori di Website Planet hanno rintracciato l’istanza a TronicsXchange, con sede in California, precedentemente scambiata come GreenElectronicsExchange (GEEx).
Una scansione casuale per le vulnerabilità del server ha portato alla scoperta del bucket S3 completamente aperto il 12 ottobre 2020. La società stessa sembrava essere irraggiungibile, con un’e-mail di contatto non valida e il suo sito web offline, ma Website Planet ha contattato AWS due giorni dopo e il problema è stato infine risolto.
Dei milioni di file trovati nel database, forse il più dannoso per i clienti erano le circa 80.000 immagini di carte d’identità personali come patenti di guida e 10.000 scansioni di impronte digitali.
Ogni foto della patente di guida espone più informazioni su quella persona, tra cui numero di licenza, nome completo, data di nascita, indirizzo di casa, sesso, colore dei capelli e degli occhi, altezza e peso e una foto dell’individuo, tra le altre cose.
Secondo il rapporto i dati trapelati si riferiscono principalmente ai californiani che hanno visitato i negozi TronicsXchange nel 2012-15.
Non è chiaro se qualche malintenzionato abbia trovato il data store esposto prima di scoprire la falla su Website Planet, ma farlo è sempre più facile grazie agli strumenti automatizzati. I ricercatori hanno avvertito che i dati personali sarebbero potuti essere utilizzati per richiedere carte di credito o aprire conti bancari.
“Il bucket configurato in modo errato di TronicsXchange conteneva un ampio set di informazioni personali, comprese informazioni di identificazione personale che possono essere sfruttate da hacker malvagi per causare gravi danni finanziari, sociali e reputazionali a coloro che sono stati colpiti dalla fuga di notizie”, hanno affermato.
“Inoltre, dato il fatto che i documenti rilasciati dal governo sono stati esposti, utenti malintenzionati potrebbero potenzialmente condurre frodi di identità su piattaforme e istituzioni diverse. Le vere somiglianze degli utenti, le copie della documentazione ufficiale e i dettagli di contatto potrebbero essere sfruttate per effettuare il furto di identità“.