Онлайн-сервіси PDF-файлів злили 90 тисяч документів

0
302 views
Онлайн-сервіси PDF-файлів злили десятки тисяч документів

Останнє дослідження Cybernews показує, що два онлайн-сервіси PDF-файлів допустили витік десятків тисяч користувацьких документів, включаючи паспорти, водійські права, сертифікати та іншу особисту інформацію, завантажену користувачами.

При цьому щодня користувачі продовжують завантажувати свої документи, не підозрюючи, що їхні дані витікають в Інтернет.

Дослідницька група Cybernews викрила два онлайн-сервіси для створення PDF-файлів, PDF Pro і Help PDF, у витоку понад 89 тисяч документів.

“Що ще гірше, численні спроби зв’язатися з провайдерами залишилися абсолютно непоміченими, а відкрите сховище Amazon S3 на момент публікації було доступне будь-кому, хто хотів його використати. Наша команда звернулася до постачальників послуг за офіційною заявою, але поки що не отримала відповіді”, – кажуть
у компанії.

Серйозні ризики для безпеки

Експерти зазначають, що І PDF Pro (pdf-pro.io) і Help PDF (help-pdf.com), скоріш за все, управляються однією і тією ж юридичною особою, що базується у Великобританії, і мають однаковий дизайн. Користувачам пропонуються інструменти для перетворення PDF, стиснення та редагування, а також можливість підписувати документи.

За словами команди, викритий екземпляр містить документи, завантажені користувачами. На момент написання статті загальна кількість доступних файлів становила 89062, з яких 87818 були завантажені через PDF Pro і 1244 – через Help PDF.

Різні документи у відкритому доступі

Відкрите сховище містить:

  • Паспорти.
  • Водійські посвідчення.
  • Сертифікати.
  • Контракти.
  • Інші документи та інформацію.

“Маючи доступ до особистих документів, злочинці можуть займатися різними шахрайськими діями, такими як отримання кредитів, оренда нерухомості або купівля дорогих речей, використовуючи особистість жертви”, – зазначають дослідники.

PDF Pro

Що робити

Команда пропонує кілька порад, які допоможуть запобігти витоку та уникнути подібних інцидентів у майбутньому:

  • Негайно обмежте публічний доступ до сховища.
  • Змініть політику сховища та списки контролю доступу (ACL), щоб обмежити доступ лише авторизованим користувачам або програмам.
  • Переконайтеся, що всі об’єкти в сховищі мають статус приватних або налаштовані відповідні засоби контролю доступу.
  • Увімкніть шифрування на стороні сервера для захисту даних у стані спокою. Адміністратори можуть вибирати між SSE-S3, SSE-KMS або SSE-C залежно від своїх вимог.