إذا كنت قد استخدمت Formget في السنوات القليلة الماضية فهناك فرصة جيدة نعرفها. تسمح الشركة لعملائها البالغ عددهم 43000 عميل بإنشاء نماذج عبر الإنترنت حتى يتمكن الآخرون من تقديم سيرتهم الذاتية أو التقدم للحصول على وظيفة أو تقديم دليل على العنوان أو التوظيف وشراء البضائع عبر الإنترنت وأكثر.
كيف نعرف؟ نظرًا لأن الشركة تركت إحدى خوادم التخزين السحابية الخاصة بها عبر الإنترنت وتعرضت بدون كلمة مرور.
وجد باحث أمان مجهول دلو Amazon S3 المكشوف من شركة Formget ومستنير TechCrunch على أمل الحصول على البيانات. سحب Formget الدلو في وضع عدم الاتصال بين عشية وضحاها بعد أن وصلنا إلى الشركة يوم الأربعاء. لكن مؤسس الشركة والرئيس التنفيذي Neeraj Agarwal لم يرد على العديد من رسائل البريد الإلكتروني والمتابعة التي تطلب التعليق.
كان دلو التخزين مزدحمًا بمئات الآلاف من الملفات والمستندات. كان لدى دلو التخزين مجلد لكل عام يعود تاريخه إلى عام 2013 ويحتوي على طلاب فرعيين لكل شهر مملوءة بمستندات تم تحميلها من قبل المستخدم.
بعض الملفات التي استعرضناها تحتوي على معلومات حساسة للغاية بما في ذلك:
فحوصات لعدة جوازات سفر - بما في ذلك جوازات السفر الأمريكية - وغيرها من المستندات الممسوحة ضوئيًا مثل شيكات الأجور وأرقام الضمان الاجتماعي وترخيص السائق وبطاقات الهوية الوطنية وأكثر
رسائل من شؤون المحاربين القدامى قدامى المحاربين من تعويضات العجز المتصلة بالخدمة بما في ذلك المبالغ المدفوعة
تفاصيل القروض والرهون العقارية التي تم الحصول عليها بما في ذلك المبالغ وأسعار الفائدة وتاريخها وكذلك بيانات الحسابات المصرفية وفواتير الغاز والتفريغ العسكري من نماذج الخدمة الفعلية وغيرها من إثبات الإقامة المماثل
العديد من مستندات إثبات الإقامة بما في ذلك بيانات البنوك والقروض الموجودة على الخادم المكشوف (الصورة: TechCrunch)
عدة وثائق الشركة الداخلية بما في ذلك تقييم الأمن السيبراني ملخصات NT للعديد من البنوك والمؤسسات المالية المسمى السرية والاستخدام الداخلي فقط
ups ملصقات الشحن بما في ذلك الأسماء وأرقام الهواتف ومحتويات الشحن
اثنان جوازات سفر العديد من المستندات المكشوفة بواسطة Formget (Image: TechCrunch)
تستأنف بما في ذلك الأسماء وعناوين البريد والبريد والبريد الإلكتروني وأرقام الهواتف وخلفيات التعليم وتاريخ الوظائف
الفواتير من Google التكبير وحتى من Formget نفسها للخدمات التي تم فواتيرها - في بعض الحالات بما في ذلك الاسم والعنوان وأرقام بطاقات الائتمان الجزئية
والعديد من إيصالات حجز الخطوط الجوية والفندق.
أصبحت هذه الأنواع من التعرض للبيانات - حيث يتم نشر البيانات الخاصة عن طريق الخطأ - مشكلة أمنية مشتركة على مر السنين. كانت هناك عدة حالات لتعرض البيانات غير المقصودة من تغيير أذونات خادم التخزين إلى الأماكن العامة. في وقت سابق من هذا العام تم الكشف عن ملايين وثائق الرهن العقاري. كانت بيانات Facebook المكسّة في حالة تسرب مماثلة للبيانات. في العام الماضي ترك مزود إنترنت في ولاية واشنطن بأكمله مفاتيحه للمملكة المكشوفة بسبب خطأ في التكوين.
على الرغم من أن الشركات غالبًا البيانات العامة.
قال أحد كبار مهندس أمان السحابة الذين تحدثوا إلى TechCrunch على الخلفية أن الخدمات السحابية الرئيسية قد عملت بجد للحفاظ على آمنة البيانات افتراضيًا.
في حالة Amazon الافتراضي وقال المهندس إن الإعدادات على دلو S3 خاص - لا يُسمح بالإنترنت غير المصرح به مباشرة. وقال المهندس إنه يوفر أمازون أيضًا أدوات مجانية لمسح البنية التحتية السحابية للمستخدم للبحث عن عمليات السوء. في أي تثبيت في السنوات القليلة الماضية يتعين على المطورين الخروج عن طريق فضح هذه السجلات. Engin
اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي
