.
Um fornecedor terceirizado que administra um banco de dados sem proteção por senha expôs mais de 500.000 registros relacionados a apreensões de veículos pela Polícia Nacional Irlandesa (An Garda Síochána, “Garda”).
O pesquisador de segurança Jeremiah Fowler encontrou vários registros que datam de 2017, incluindo documentos de identidade digitalizados, consultas de investigação de seguros, certificados de registro de veículos e outros dados potencialmente confidenciais.
Relatórios resumidos de incidentes também estavam entre os documentos expostos. Isso incluía nomes e detalhes de motoristas, testemunhas e vários policiais da Garda.
Passarinheiros investigação revelou “aproximadamente 2 a 5 documentos relacionados a cada caso individual” expostos no banco de dados, uma percepção que ele extrapolou para prever que cerca de 150.000 proprietários de veículos seriam afetados pelo incidente.
As apreensões de veículos foram realizadas pela Polícia, mas a base de dados pertence inteiramente e é operada por um empreiteiro não identificado, baseado em Limerick, que teria respondido muito bem aos relatórios e solucionado o problema prontamente.
Questionado sobre as descobertas, um porta-voz da Garda disse Strong The One: “Não comentamos materiais de terceiros.”
Ofereceu uma resposta mais substancial ao jornal Irish Independent, dizendo que uma investigação foi lançada “imediatamente”.
“De acordo com o contrato da An Garda Síochána com empresas de reboque individuais, existem obrigações claras para as empresas de reboque individuais de proteger qualquer informação que lhes seja fornecida pela An Garda Síochána, incluindo dados pessoais”, disse o porta-voz. contado a publicação.
“Esta obrigação também se estende a situações em que empresas de reboque individuais fornecem essas informações a terceiros para fins de armazenamento.”
Durante o processo de divulgação, Fowler disse Strong The One que ele não sabia se havia evidências que sugerissem que atores mal-intencionados acessaram o banco de dados ou exfiltraram dados.
Ele acredita que o acesso ao repositório de armazenamento em nuvem pública poderia ter sido definido como “público” por engano, uma vez que o acesso precisava ser aberto a várias organizações, incluindo a polícia e empresas de reboque e armazenamento.
“Estes documentos são necessários para que as empresas de reboque e armazenamento e a polícia tenham acesso a qualquer momento, e pode ter sido aqui que ocorreu o erro e foi aberto o acesso do público”, disse.
“É um grande pé no saco inserir uma senha para cada documento, mas algum dia precisaremos sacrificar a conveniência pela segurança. Será doloroso, mas acredito que os dias do único banco de dados cheio de tudo serão extintos no futuro .”
Crescentes violações policiais
A última revelação segue uma longa série de histórias relacionadas a várias forças policiais no Reino Unido, todas relatando incidentes de dados nos últimos meses.
Tudo começou com o Serviço de Polícia da Irlanda do Norte (PSNI) publicando uma planilha cheia de nomes e localizações de seus oficiais em serviço em agosto, bem como de funcionários civis.
O incidente ocorreu devido à PSNI ter publicado erroneamente online uma resposta a um pedido feito ao abrigo da Lei de Liberdade de Informação de 2000 (FoI) com demasiada informação.
Falando na altura, o presidente da Federação da Polícia da Irlanda do Norte, Liam Kelly, disse que se os endereços residenciais tivessem sido incluídos na fuga, o PSNI teria enfrentado “uma situação potencialmente calamitosa”.
Dias depois, a Polícia de Cumbria tornou-se a segunda força policial do país a divulgar informações pessoais de policiais. Desta vez foram os nomes, salários e subsídios de todos os oficiais.
A força confirmado em uma declaração de que a culpa foi do erro humano quando o documento foi carregado em seu site em março.
Mais uma vez, poucos dias depois, no que foi uma quinzena selvagem para vazamentos de dados policiais, as forças policiais de Norfolk e Suffolk confirmado eles vazaram dados brutos de relatórios de crimes em respostas FoI.
Polícia Metropolitana de Londres seguiu o exemplo no final de agosto, revelando que uma violação de terceiros expôs nomes, fotos, salários e muito mais dos policiais.
A Polícia da Grande Manchester também anunciado em setembro, um fornecedor terceirizado de crachás de identificação foi atacado com ransomware, o que levou ao roubo de dados relacionados aos nomes e fotos de seus funcionários. ®
.
