Plus de 750 000 demandes de copies de certificats de naissance aux États-Unis exposées en ligne – TechCrunch

Une entreprise en ligne qui permet aux utilisateurs d'obtenir une copie de leurs certificats de naissance et de décès auprès des gouvernements des États américains a dévoilé un énorme cache d'applications – y compris leurs informations personnelles.

Plus de 752 000 demandes de copies de certificats de naissance ont été trouvées sur un compartiment de stockage Amazon Web Services (AWS). (Le seau contenait également 90 400 demandes de certificat de décès, mais celles-ci n'étaient pas accessibles ni téléchargeables.)

Le compartiment n'était pas protégé par un mot de passe, ce qui permettait à quiconque connaissait l'adresse Web facile à deviner d'accéder aux données.

Chaque processus de demande différait selon l’État, mais accomplissait la même tâche: permettre aux clients de s’adresser à l’autorité de tenue des dossiers de leur État – généralement le ministère de la Santé d’un État – pour obtenir une copie de leurs dossiers historiques. Les demandes que nous avons examinées contenaient le nom, la date de naissance, l'adresse actuelle du domicile, l'adresse e-mail, le numéro de téléphone et les informations personnelles historiques du demandeur, y compris les adresses passées, les noms des membres de la famille et la raison de la demande – comme demander un passeport ou faire des recherches sur l'histoire de la famille.

Les demandes de copies des certificats de naissance de nombreux États américains – dont la Californie, New York et le Texas – ont été laissées en ligne (Image: TechCrunch)

Les applications remontaient à la fin de 2017 et le seau était mis à jour quotidiennement. En une semaine, la société a ajouté environ 9 000 applications au seau.

La société de tests de pénétration basée au Royaume-Uni, Fidus Information Security, a trouvé les données exposées. TechCrunch a vérifié les données en comparant les noms et les adresses aux enregistrements publics.

Fidus et TechCrunch ont envoyé plusieurs courriels avant la publication pour avertir des données exposées, mais nous n'avons reçu que des courriels automatisés et aucune mesure n'a été prise. Nous ne nommons pas l'entreprise. Une fois atteint, Amazon n'interviendrait pas mais a déclaré qu'il informerait le client.

Nous avons également contacté l'autorité locale de protection des données pour avertir de la défaillance de la sécurité, mais elle n'a pas immédiatement commenté.

Lire la suite:

Traduit de la source : https://techcrunch.com/2019/12/09/birth-certificate-applications-exposed/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.