Десятки тысяч отсканированных водительских удостоверений NSW и заполненных деклараций о платеже были оставлены открытыми на открытом экземпляре хранилища Amazon Web Services, но Transport for NSW не знает, как конфиденциальные персональные данные оказались в облаке.
Открытое ведро AWS S3 было найдено Бобом Дьяченко из Security Discovery в рамках расследования еще одного нарушения данных.
«Все документы, которые я видел, были связаны с районом Нового Южного Уэльса, и там не было никаких указаний на то, кто может быть владельцем этих данных», — сказал Дьяченко ITnews.
Одна папка содержала 108 535 изображений лицевой и оборотной сторон отсканированных водительских удостоверений, а другая содержала сканы Дорожных и морских служб, извещающих о взимании платы за проезд, в формате PDF и JPG.
Пресс-секретарь Transport for NSW заявил, что агентство работает с Cyber Security NSW для расследования того, что оно назвало «предполагаемой проблемой данных, связанной с ведром AWS S3, содержащим личную информацию, включая водительские права.» «Первоначальная информация указывает на то, что выставленное ведро AWS S3 не связано с транспортом для NSW или какой-либо правительственной системы», — сказал пресс-секретарь.
Вместо этого TfNSW предположил, что ответственность за утечку данных может нести неустановленная третья сторона.
«Хотя для владельцев лицензий всегда важно помнить о конфиденциальности при предоставлении своей конфиденциальной личной информации другим сторонам, Transport for NSW признает, что некоторые третьи стороны регулярно запрашивают информацию о водительских правах в рамках своей деловой практики», — сказал пресс-секретарь.
“Политика и процедуры Transport for NSW признают необходимость рассмотрения каждого конкретного случая для клиентов, которые, как считается, пострадали от мошенничества с личными данными, и при необходимости выдают новые водительские права/фотокарточки по мере необходимости.”
Дьяченко поделился списком каталогов, в котором были показаны файлы с датами сентября и октября 2018 года.
ITnews также увидела водительские права Нового Южного Уэльса и заполненную форму декларации о плате за проезд для компании с такими подробностями, как дата рождения и номер телефона человека, который ее заполнял.
Дьяченко связался с Троем Хантом из службы уведомления о нарушении данных Have I Been Pwned, который, в свою очередь, предупредил Австралийский центр кибербезопасности.
Хант и ACSC связались с AWS, сказал Дьяченко, и открытый экземпляр был закрыт через час или два после отчета.