Tech hat erfahren, dass der in London ansässige Outsourcing-Riese Capita eine Fundgrube von Daten 7 Jahre lang online offengelegt hat, nur wenige Wochen nachdem das Unternehmen eine Datenpanne zugegeben hatte, die sich möglicherweise auf Kundendaten auswirkte.
Ein Sicherheitsforscher bat um Anonymität und machte Tech auf eine ungeschützte Person aufmerksam Amazonas-gehosteter Storage-Bucket, der letzte Woche von Capita gesichert wurde.
Der AWS-Bucket, der laut Forscher seit 2016 dem Internet ausgesetzt war, enthielt ungefähr 3.000 Dateien mit einer Größe von insgesamt 655 GB. Es gab kein Passwort für den Eimer, sodass jeder, der die leicht zu erratende Webadresse kannte, Zugriff auf die Dateien hatte. Details des exponierten Cloud-Servers wurden auch von GrayHatWarfare erfasst, einer durchsuchbaren Datenbank, die öffentlich sichtbaren Cloud-Speicher indiziert.
Die exponierten Daten umfassten Softwaredateien, Serverbilder und zahlreiche Excel-Tabellen, PowerPoint-Präsentationen und Textdateien, wie aus einer von Tech überprüften Stichprobe von Dateinamen hervorgeht. Eine der Textdateien enthielt Anmeldedaten für eines der Systeme von Capita, sagte der Sicherheitsforscher gegenüber Tech, und einige Dateinamen, die darauf hindeuteten, dass Daten erst in diesem Jahr in den exponierten Bucket hochgeladen wurden.
Es ist nicht klar, ob Daten von Capita-Kunden, eine Liste, die den britischen National Health Service und das Ministerium für Arbeit und Renten enthält, in diesen Dateien enthalten waren. „Ich gehe davon aus, dass einige dieser Dinge nicht für das Internet verfügbar sein sollten, da sie den Eimer seitdem geschlossen haben“, sagte der Sicherheitsforscher gegenüber Tech.
Capita wurde Ende April auf die Datenschutzverletzung aufmerksam gemacht und sicherte den Bucket noch in derselben Woche. Der Sicherheitsforscher, der Capita über den Verstoß informierte, sagte gegenüber Tech, dass das Unternehmen zwar umgehend geschlossen wurde, das Unternehmen jedoch kein verantwortungsbewusstes Offenlegungsprogramm oder einen dedizierten Sicherheitskontakt hat.
Capita-Sprecherin Elizabeth Lee lehnte es ab, die Fragen von Tech zu beantworten.
Der Forscher sagte, er glaube, dass dieser Vorfall nichts mit dem zu tun habe Capita-Cyberangriff Ende März von den Schwarzen Basta beansprucht Ransomware Gruppe. Das Ausmaß dieses Vorfalls ist unbekannt, obwohl Capita letzten Monat zugegeben hat, dass es Beweise für eine „begrenzte Datenexfiltration“ gesehen hat, die „Kunden-, Lieferanten- oder Kollegendaten beinhalten könnte“.
Beispiele der durchgesickerten Daten, die Tech eingesehen hat, umfassten Bankkontodaten, Passfotos und Führerscheine sowie die persönlichen Daten von Lehrern, die sich um Jobs an Schulen bewerben. Diese Dateien wurden von Black Basta nicht öffentlich geteilt. Ob eine Lösegeldforderung bezahlt wurde, ist nicht bekannt.