Data leak exposes 750,000 birth certificate applications

A variety of sensitive information has been there for the taking due to an unsecured cloud storage container

By Amer Owaida 

Over 752,000 birth certificate applications have been exposed online by an unnamed company that enables people to obtain copies of birth and death records from state governments in the United States, TechCrunch reports. Needless to say, the exposed cache of documents includes a variety of personal information.

The leak was reported by Fidus Information Security, a company specializing in penetration testing. The applications were found on the Amazon Web Services (AWS) cloud computing platform, sitting out in the open with no password protection whatsoever. This means anyone who could guess the relatively simple web address, including bad actors, could access the records.

Although the application process varies from state to state, the ultimate goal is the same – to allow people to acquire a copy of their records. These records include sensitive personal information such as the name, date of birth, current home address, email and phone number. On top of that, the applications also include the names of family members, historical information such as past addresses, or the reason behind applying for the documents.

The affected cache included applications dating all the way back to 2017. The company that runs the service added approximately 9,000 applications to the repository in a single week. The authenticity of the data was verified by TechCrunch by comparing them against public records.

As shocking as this leak may look at first glance, it is not an isolated case. Over a 12-month span  between June 2018 and May 2019, a total of 2.3 billion files were discovered exposed online due to misconfigured or non-secured file storage and sharing technologies. Organizations’ Amazon S3 buckets accounted for 8 percent of the total exposure. On the other hand, AWS rolled out the ‘Block Public Access’ feature last year, which has mitigated the problem. But it has not stopped the problem entirely.

Data leaks from misconfigured public-facing file repositories may result in identity theft and fraud. Although this concrete case occurred in the United States, it’s worth noting that these kinds of security lapses may lead to stiff penalties under the European Union’s General Data Protection Regulation (GDPR).

Cybersecurity trends 2020

Met de Amerikaanse presidentsverkiezingen die in 2020 de aandacht van de wereld zullen trekken, zien we, in het komende jaar, gegarandeerd claims van bemoeienis en manipulatie van de verkiezingen, volgens het nieuwste trends rapport van ESET. Samen met de manipulatie van de stemmen, gaat Cybersecurity Trends 2020: Technology is getting smarter – are we?  verder in op de voorspellingen van experts van het globale beveiligingsbedrijf ESET en onthullen ze de belangrijkste uitdagingen die naar verwachting in 2020 een impact zullen hebben op consumenten en bedrijven.

Trend # 1: De mist rond nepnieuws wordt dikker

De term "nepnieuws" kreeg een vooraanstaande plaats door het protest wegens de manipulatie van informatie en gegevens bij de Amerikaanse verkiezingen van 2016, en er bestaat geen twijfel dat dit opnieuw een onderwerp van controverse zal zijn in de aankomende campagne. Terwijl Facebook dit jaar een boete van 5 miljard US$ kreeg voor zijn rol in het Cambridge Analytica-schandaal, vertoont de omvorming van informatie tot wapen geen tekenen van stoppen in 2020, volgens ESET Global Security Evangelist Tony Anscombe.

Anscombe merkt op: “Of het nu desinformatie of propaganda is, informatie tot wapens omvormen, zal blijven doorgaan.” Het vervolgt: “We zijn voortdurend getuige van massale datalekken en systeembesmettingen in bedrijven en overheidsdiensten, waarom zouden stemtechnologie of -processen dan ontsnappen aan dergelijke aanvallen? "

Trend # 2: Machine learning: beveiliging creëren of beveiliging aanvallen?

Hoewel de zelfvoorzienende AI nog ver weg is, maakt machine learning (ML) vooruitgang als een van de meest boeiende technologische ontwikkelingen uit de geschiedenis. Hoewel dit enorm veel mogelijkheden biedt voor de cybersecurity-industrie, zullen cybercriminelen eveneens gebruik maken van ML om de schaal en complexiteit van hun aanvallen te vergroten.

Deepfakes is een techniek die gebruik maakt van ML en Jake Moore, ESET Security Specialist, voorspelt dat in 2020 het gebruik van deze technologie door cybercriminelen zal toenemen. Deepfakes nemen toe in kwaliteit en dit in een indrukwekkend tempo," schrijft hij, “Deze technologie zou in de toekomst gemeengoed kunnen worden om publieke figuren te beschadigen door ze te laten zeggen wat de maker wil.” Mensen zullen moeten leren om zelfs de meest realistische video's die ze te zien krijgen met een vleugje scepsis te behandelen.

Trend # 3: Privacy van gegevens: tijd voor een wereld van verandering

Terwijl in 2019 heel wat landen nieuwe of uitgebreide wetten voor kennisgeving van inbreuken werden ingevoerd of geïmplementeerd, is het wantrouwen in verband met het gebruik van persoonlijke gegevens alom aanwezig. Volgens Lysa Myers, ESET Senior Security Researcher, tot de boetes voor privacyschendingen een groter percentage van de inkomsten van megabedrijven gaan bedragen, zal dit probleem niet verdwijnen.

Lysa geeft hier het standpunt weer van de International Association of Privacy Professionals, die bedrijven heeft geadviseerd een totale functionaliteit te behouden met respect voor de privacy. "Bedrijven die erin slagen dit te presteren, hebben waarschijnlijk een aanzienlijk marktvoordeel," beweert ze. Lysa wijst ook op het steeds tanende vertrouwen in gebruikersnamen en wachtwoorden. De organisaties hebben nu een behoefte om hun gebruik van multifactor-authenticatie te ontwikkelen.

Trend # 4: Smart maar onveilige steden?

Smart cities en smart buildings zijn de stap naar de toekomst omdat technologie steeds meer in ons dagelijks leven wordt ingebed. Meer dan 80 % van de nieuwe gebouwen bevatten ten minste enkele elementen van IoT, terwijl deskundigen hun bezorgdheid geuit hebben dat slimme steden een snelle groei doormaken maar dat ons vermogen om ze te beveiligen deze snelheid niet kan bijhouden.

Talloze slimme apparaten en systemen hebben geen sterke authenticatieprotocollen of zijn helemaal niet beschermd door een beveiligingsoplossing. Volgens ESET Security Researcher Cecilia Pastorino zijn malware-aanvallen op slimme steden een relevant probleem. “Hoewel de systemen die door slimme gebouwen en steden worden gebruikt, niet op internet surfen en e-mails openen, moeten ze toch ook, beschermen tegen malware, " aldus Pastorino.

Trend # 5: Digitale transformatie

Dat bedrijven zich moeten aanpassen aan een steeds meer gedigitaliseerde wereld is niet nieuw, maar een specifieke trend in de digitale transformatie die organisaties bedreigt, is de toenemende mobiliteit van werknemers. ESET Senior Security Researcher Camilo Gutiérrez Amaya, legt uit: “Ons vermogen om verbonden te blijven met netwerken, ongeacht waar we zijn, blijft de aanvalsoppervlakken van organisaties vergroten en blootstellen aan risico’s terwijl de steeds snellere toepassing van mobiele technologie in bedrijven vaak zonder voldoende aandacht voor beveiliging gebeurt. ”

“In de komende maanden zullen organisaties grote veranderingen op bijna alle vlakken in hun bedrijf gaan doorvoeren. De rode draad doorheen dit alles wordt de manier waarop ze zullen omgaan met de informatie en de gegevens die betrokken zijn bij hun specifieke activiteiten ', concludeert hij.

Voor meer informatie over de trends die in 2020 invloed zullen hebben op de industrie, lees

               Cybersecurity Trends 2020: Technology is getting smarter – are we?

5 scam prevention tips for seniors

How can people who didn’t grow up with technology protect themselves against some of the most common types of online fraud?

By Tomáš Foltýn

The conventional thinking is that aging people tend to be at a higher risk of falling prey to scam artists than their children or grandchildren. Regardless of whether this is true or not, older people in the United States alone are swindled out of some US$3 billion a year via all manner of schemes, including internet-enabled theft, fraud, and exploitation. Moreover, any such statistics are likely to represent only a fraction of the actual damage, since many victims are too embarrassed to come forward and admit that they had been taken in by scammers.

What makes many older people vulnerable to online fraud, anyway? Among other things, fraudsters may exploit their trusting nature and, in some cases, deteriorating cognitive abilities caused by aging. Needless to say, the con artists may leverage the fact that the intended victims didn’t grow up with technology and never took even the most basic cybersecurity training. Partly with that in mind, this year’s series of articles marking Antimalware Day will conclude with a few tips that can help (not only) the elderly stay safe from common types of online scams.

Be skeptical

Never assume that a stranger online is a trustworthy person. Indeed, you would be well-advised to always consider the possibility that the unexpected message may be a scam attempt. By extension, you should exercise caution even if the message comes (or seems to come) from someone you do know, and this applies equally to messages delivered via email, instant messaging apps or social media. Watch out for anything unusual about the message or sender; it could be a bad guy who has hijacked your friend’s online account and uses it to blast out malicious spam. If in doubt, throw it out!

Don’t click

A phishing attack, which is one of the most pervasive online cons, typically begins with an unsolicited email or social media message in which the fraudster impersonates a trusted entity and, using social engineering techniques, attempts to persuade you to hand over your sensitive data, such as credit card details or login credentials. Many con artists have diversified far beyond misspelled and purely text-based phishing messages, building entire lookalike websites and Facebook pages as lures for campaigns. You should never automatically assume that any material received out of the blue – no matter how official it looks – is authentic. Be wary of clicking on links or open attachments in emails even if the message appears to be from a known, trusted source.

Say no to ‘freebies’

Similarly, fraudsters may also send you an email to congratulate you on your ‘win’ in a lottery or sweepstake you never entered in the first place. Nevertheless, in order for your ‘prize’ to be released, they will ask for your personal details and/or request a payment upfront in a kind of ‘advance-fee scam’. Typically, the missive will instill a sense of urgency, asking you to respond promptly or risk missing out. Remember that legitimate lotteries never require winners to pay fees to collect their winnings.

Never wire money to strangers

Confidence/romance fraud, where the victim is tricked into sending money or personal information to the false admirer, was the second costliest type of online fraud to hit people of all ages in 2018, causing aggregate losses worth US$362 million. Worse, the FBI’s latest Internet Crime Report also found that almost one-third of romance scam victims are estimated to have been used as money mules, which made them unsuspecting crime accomplices. Romance scams have for years been high on the list of the most common scams against seniors, which may not be surprising in the sense that loneliness is one of the most common issues many seniors face.

Hang up

In tech support fraud, con artists will often seek to convince you that your computer has been compromised by malware and that you need to provide them with remote access to your device so they can fix the issue. Of course, the pretext is fake, but the ensuing damage – the loss of personal information and money – is very real. You should never provide a stranger with remote access to your computer, even if they claim to represent a reputable vendor.

Bonus tip

The last tip is mainly intended for the younger of us: Let’s keep an open dialogue with our parents and grandparents and explain the basic cybersecurity practices to them in a relatable manner. On top of acquiring a better understanding of the dangers of the online world, many of them will feel more engaged and less lonely, which may ultimately help them stay safer online.