Érdekes informatikai incidens történt az ír rendőrségnél. Egy 500 ezer tételes jelszavas védelem nélküli adatbázisra bukkant egy kiberbiztonsági kutató. A védetlen adatállomány elképesztő mennyiségű személyes és banki adatot tett bárki által elérhetővé.
Adatlopás, adatszivárgás - napjaink legrettegettebb buzzwordjei, és a kémprogramok, doxingoló zsarolóvírusok tesznek is arról, hogy mindenki kellően paranoid hangulatban legyen.
No de mi van akkor, ha nincs is támadás a láthatáron, épp csak a bizalmas adatok kezelői tesznek valami jóvátehetetlent, ami csak a véletlennek köszönhetően derül ki. Az ír rendőrség, a Garda, illetve annak alvállalkozói esetében pontosan valami ilyesmiről van most szó.
Jeremiah Fowler biztonsági kutató egy olyan adatállományt talált, amelyben a hatóságok által lefoglalt gépjárművekkel kapcsolatos esetek szerepeltek 2017-től kezdődően. Az ügyiratok mellékleteként beszkennelt személyazonosító okmányokat, részletes biztosítási vizsgálati jegyzőkönyveket, gépjármű-nyilvántartási igazolásokat, aláírás képeket, sofőrök, tanúk és Garda tisztek nevét és adataikat, valamint bankkártya adatokat (bankkártya számok, lejárati idő, kártyabirtokos neve) talált.
A szakértő szerint minden egyes esethez körülbelül 2-5 dokumentumot tartalmazott ez a publikus adatállomány, így hozzávetőlegesen 150 ezer járműtulajdonost érinthet az incidens, akik nem csak írek, hanem más, harmadik országbeliek.
A rendőrség számára bedolgozó vontató társaságok a hatósággal kötött szerződések értelmében elvileg kötelesek lennének megvédeni a Garda Síochána által számukra szolgáltatott bizalmas információkat, beleértve a személyes adatokat is. Ez a kötelezettség kiterjed azokra az esetekre is, amikor az egyes vontatócégek ezeket az információkat tárolás céljából harmadik félnek adják át.
Fowler úgy véli, az incidenst egy a szereplők által igénybe vett felhős tárhely hibás hozzáférési beállítása okozhatta, mivel a hozzáférésnek több szervezet számára is nyitva kellett lennie, beleértve a rendőrséget, valamint a vontatási és tárolási cégeket. Azt talán még a brit tudósok is megerősítenék, hogy a kormányzat számára bedolgozó vállalkozók kiválasztása itt gyaníthatóan nem volt megfelelően kezelve.
A kutató a The Registernek úgy nyilatkozott, nem talált bizonyítékot arra, hogy rosszindulatú szereplők hozzáfértek-e a fent említett adatbázishoz. Macerás ugyan minden egyes dokumentumhoz egyedi jelszót rendelni, de nyilvánvalóan nem szabad a biztonságot feláldozni ily módon a kényelem oltárán. A mostani incidens nem az első az ír rendőrség történetében, emlékezetes, hogy idén nyáron tisztek és polgári alkalmazottak személyes adatait tartalmazó táblázatot töltöttek fel tévedésből az internetre.
2023. márciusában pedig az Egyesült Királyságban a cumbriai rendőrség tette véletlenül közzé az összes ott dolgozó tiszt adatait - neveket, fizetési adatokat - az interneten.