Десятки тысяч людей, чьи данные водительских прав NSW были выставлены в неправильно сконфигурированном ведре AWS, остаются в неведении относительно нарушения более чем через три месяца.
В конце августа около 54 000 сканированных водительских удостоверений Нового Южного Уэльса были обнаружены в Интернете Бобом Дьяченко из Security Discovery, когда он расследовал очередное нарушение данных.
Более 108 000 изображений лицевой и оборотной сторон отсканированных лицензий находились в открытом экземпляре S3, который также содержал заполненные статутные декларации об уведомлении о толлинге.
Как сообщает ITnews, правительство Нового Южного Уэльса было быстро исключено как владелец ведра AWS S3, а утечка вместо этого была обвинена в неустановленной третьей стороне.
Позже компания Cyber Security NSW подтвердила, что ответственность за это несет коммерческая организация, хотя на тот момент AWS не предоставила ей информацию о личности этой организации.
Считается, что AWS уведомила организацию о закрытии корзины S3 после того, как в августе о нарушении было сообщено в Австралийский центр кибербезопасности.
Но пока расследование продолжается, ITnews может показать, что Cyber Security NSW все еще не знает о личности организации или о том, были ли клиенты этой организации уведомлены три месяца назад.
“АРМ… не будет раскрывать своего владельца из-за договорных обязательств с этой организацией”, — говорится в заявлении Cyber Security NSW.
“Таким образом, правительство Нового Южного Уэльса не знает ни о личности коммерческой организации, ни о клиентах Нового Южного Уэльса, которые могли пострадать от нарушения.”
Пресс-секретарь добавил, что Cyber Security NSW продолжает работать с государственными и федеральными агентствами, чтобы определить личность организации и обеспечить уведомление клиентов.
Представитель AWS заявил, что компания “выполнила запрос австралийского правительства, связанный с этим вопросом, как того требует Закон о конфиденциальности”.
AWS не сказала бы, знала ли она, что данная организация уведомила своих клиентов.
Управление Австралийского комиссара по информации лишь “подтвердит, что стороны, подлежащие расследованию, являются коммерческими организациями”.
Хотя нет никакого требования уведомлять, если нарушение данных вряд ли приведет к серьезному ущербу, любые задержки в этом процессе могут привести к тому, что клиенты будут подвержены мошенничеству и другим рискам.
Неспособность властей Нового Южного Уэльса, в частности, идентифицировать владельца ведра также вызывает вопросы о том, должно ли правительство иметь возможность вмешаться в случае серьезного нарушения данных.
Cyber Security NSW заявила, что правительство “готово помочь, сотрудничая с коммерческой организацией, чтобы поддержать любых пострадавших клиентов, в том числе в связи с коммуникациями”.
“Это позволит этим клиентам принять оперативные меры, чтобы свести к минимуму риск причинения вреда в результате доступа к их личной информации третьих лиц”, — сказал пресс-секретарь.