Τα αντίγραφα ασφαλείας μιας offshore τράπεζας στις Νήσους Κέιμαν, εκτέθηκαν και διαρρέουν προσωπικές τραπεζικές πληροφορίες, δεδομένα διαβατηρίων και ηλεκτρονικά τραπεζικά PIN.
Μία λανθασμένη διαμόρφωση στο Microsoft Azure blob ήταν η αιτία να διαρρεύσουν τα αντίγραφα ασφαλείας μία τράπεζας των Νήσων Κέιμαν. Η ενιαία διεύθυνση URL του blob οδήγησε μία τεράστια ποσότητα αρχείων, συμπεριλαμβανομένων προσωπικών τραπεζικών πληροφοριών, δεδομένων διαβατηρίων και ακόμη και διαδικτυακών τραπεζικών PIN, να εκτεθεί σε κοινή θέα.
Το σφάλμα επισημάνθηκε από έναν ερευνητή στο The Register, ο οποίος συμφώνησε να μην αποκαλύψει το όνομα της τράπεζας. Μόλις δόθηκαν τα αποδεικτικά στοιχεία των εκτεθειμένων δεδομένων στην τράπεζα, οι πληροφορίες μεταβιβάστηκαν σε έναν υπάλληλό της που κατείχε γνώσεις υπολογιστή. Δεν υπήρχε κανένας άλλος στο προσωπικό ειδικά εκπαιδευμένος στην ασφάλεια στον κυβερνοχώρο.
Το The Register πρόσθεσε ότι το προσωπικό της εταιρείας «δεν γνώριζε πλήρως» πώς λειτουργούσε το Azure blob (αποθήκευση αντιγράφων ασφαλείας της Microsoft που ανταγωνίζεται το Amazon Web Services S3 και άλλες επιλογές αποθήκευσης cloud). Ολόκληρη η λειτουργία του εξαρτάται πλήρως από έναν εξωτερικό πάροχο ασφάλειας στον κυβερνοχώρο.
Η τράπεζα ισχυρίζεται ότι διαχειρίζεται 500 εκατομμύρια δολάρια σε επενδύσεις.
«Αυτή ήταν μια εφεδρική λύση που παρείχε ο προμηθευτής πληροφορικής μας στο Χονγκ Κονγκ, την οποία θεωρήσαμε ως μια αρκετά καλή παροχή υπηρεσιών cloud», δήλωσε ο υπάλληλος της τράπεζας σε απάντησή του στο The Register. «Είναι προφανές ότι υπάρχει κάποιο πρόβλημα εδώ!»
Τα δεδομένα έχουν αφαιρεθεί έκτοτε από τον προμηθευτή πληροφορικής.
Ο ειδικός σε θέματα κυβερνοασφάλειας και νομικής, Ilia Kolochenko, που εργάζεται ως Διευθύνων Σύμβουλος της ImmuniWeb, δήλωσε ότι η εταιρεία επενδύσεων θα πρέπει να περιμένει σοβαρές επιπτώσεις από την παραβίαση.
«Σε αυτήν τη συγκεκριμένη περίπτωση, οι περισσότερες δικαιοδοσίες πιθανότατα θα θεωρήσουν αυτό το περιστατικό βαριά αμέλεια, κάτι που θα εκθέσει το ταμείο σε μια σειρά αγωγές από τους πελάτες», δήλωσε στην Threatpost. «Στο παρελθόν, παρόμοια περιστατικά οδήγησαν σε πτώχευση λόγω ανεπανόρθωτης βλάβης στη φήμη και αδυναμίας συνέχισης των δραστηριοτήτων με τους απογοητευμένους πελάτες. Πρέπει επίσης να περιμένουμε ότι διάφορες υπηρεσίες επιβολής του νόμου, υπεύθυνες για τη δίωξη της φοροδιαφυγής ή της νομιμοποίησης εσόδων από παράνομες δραστηριότητες, θα ξεκινήσουν έλεγχο για τα έγγραφα για ερευνητικούς σκοπούς.»
