1,2 млн идентификационных номеров жителей Дании оказались в Сети

1,2 млн идентификационных номеров жителей Дании оказались в Сети

Alexander Antipov

Персональная информация находилась в открытом доступе на протяжении почти пяти лет.

image

Датское агентство по развитию и симплификации (Udviklings- og Forenklingsstyrelsen) обнаружило утечку данных, вызванную ошибкой в работе сервиса TastSelv Borger, которым управляет американская компания DXC Technology. Сервис TastSelv позволяет налогоплательщикам в Дании просматривать и изменять свои налоговые декларации, годовые отчеты и платить налоги.

Данные, в том числе персональные идентификационные номера (CPR-nummer), находились в открытом доступе на протяжении почти пяти лет, прежде чем была обнаружена утечка, сообщила датская телерадиокомпания Danmarks Radio.

Проблема содержалась в сервисе Tastselv Borger. Когда пользователи выбирали опцию «Исправить контактную информацию», ошибка в приложении приводила к отправке персональных идентификаторов на серверы Google и Adobe в виде части web-адреса.

Сервис Google Hosted Libraries предназначен для удаления всей информации, позволяющей идентифицировать пользователей перед входом в систему. Таким образом, никакая пользовательская информация не должна была передаваться компании Google в процессе. По словам агентства, утекшие данные были зашифрованы, и компании Google и Adobe не имели к ним доступ. Однако эксперт Питер Крузе (Peter Kruse) из компании CSIS пояснил, что Google имела доступ к 1,2 записей персональных иденификаторов, поскольку информация хранилась в незашифрованном виде.

DXC признала наличие уязвимости и исправила ее. Как сообщили представители компании, информация не была скомпрометирована.

Google Hosted Libraries (API библиотек Google) — сеть распространения контента и архитектура загрузки для самых популярных библиотек JavaScript с открытым исходным кодом.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab