Ένας παγκόσμιος πάροχος CRM διατήρησε μια μεγάλη βάση δεδομένων πελατών απροστάτευτη στον δημόσιο ιστό, διαθέσιμη σε όποιον ήξερε πού να κοιτάξει, ισχυρίζεται νέα έρευνα.
Η βάση δεδομένων περιείχε εκατοντάδες χιλιάδες αρχεία, πολλά από τα οποία ήταν προσωπικά αναγνωρίσιμα και ευαίσθητες πληροφορίες που θα μπορούσαν να είχαν γίνει κατάχρηση σε κλοπή ταυτότητας, ηλεκτρονικό ψάρεμα και άλλες μορφές εγκλήματος στον
κυβερνοχώρο
και ψηφιακής απάτης – αν και ευτυχώς δεν υπάρχουν αποδείξεις οποιαδήποτε αδικία όμως.
Την είδηση έκανε γνωστός ερευνητής
κυβερνοασφάλεια
ς
Jeremiah Fowler
ο οποίος ανακάλυψε μια βάση δεδομένων χωρίς κωδικό πρόσβασης που ανήκει στην Really Simple Systems, η οποία ισχυρίστηκε ό
τι
είχε περίπου 18.000 χρήστες και πελάτες, συμπεριλαμβανομένων οργανισμών όπως η Βασιλική Ακαδημία, ο Ερυθρός Σταυρός, το NHS και η IBM.
Αριθμοί Κοινωνικής Ασφάλισης σε αφθονία
Ο Fowler βρήκε κάθε είδους μορφές – εικόνες, τιμολόγια, πρότυπα, καθώς και εσωτερικές εγγραφές Really Simple System. Συνολικά, υπήρχαν περισσότερα από 2,5 εκατομμύρια αρχεία .dat, περισσότερες από 50.000 εικόνες και περισσότερα από 100.000 τιμολόγια με ονόματα πελατών, διευθύνσεις και λεπτομέρειες σχεδίου CRM.
Επιπλέον
, η βάση δεδομένων διατηρούσε ιατρικά αρχεία ανθρώπων, έγγραφα ταυτότητας, συμβόλαια ακίνητης περιουσίας, εκθέσεις πίστωσης, νομικά έγγραφα, φορολογικά έγγραφα, συμφωνίες μη αποκάλυψης, ακόμη και αξιώσεις αναπηρίας, τα οποία έδειχναν SSN και αριθμούς φορολογικού μητρώου.
“Ένας από τους φακέλους του πελάτη περιείχε μια μεγάλη συλλογή εγγράφων παιδοψυχολογικής εξέτασης που σημάνθηκαν ως εμπιστευτικά”, είπε ο Fowler.
Οι εταιρείες των οποίων τα δεδομένα διατηρούνταν σε αυτήν τη βάση δεδομένων βρίσκονταν σε πολλές χώρες σε όλο τον κόσμο, συμπεριλαμβανομένων των ΗΠΑ, του Ηνωμένου Βασιλείου, της Αυστραλίας, πολλών χωρών της ΕΕ και άλλων.
Λίγο μετά την ανακάλυψη της βάσης δεδομένων, ο Fowler επικοινώνησε με την εταιρεία, η οποία χρειάστηκε μερικές ημέρες αλλά τελικά έκλεισε την πρόσβαση. Δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι οι παράγοντες απειλής έχουν πρόσβαση στη βάση δεδομένων στο παρελθόν. Το Really Simple System είπε ότι απευθυνόταν σε πελάτες που επηρεάστηκαν με σχετικές πληροφορίες.