Dostop do 885 milijonov bančnih podatkov ali zakaj je inkrementalno številčenje slabo

Shranjevanje dokumentov, ki so dostopni na internetu, po zaporednih številkah, je slaba varnostna praksa, zlasti če imajo različne pravice glede dostopa. To je na primer razlog, da imajo posnetki na YouTubu naključne identifikacijske oznake. In to je tudi razlog (seveda ne edini!), da je ameriškemu zavarovalniškemu gigantu First American Financial Corp. na internet ušlo vsaj 885 milijonov osebnih podatkov. Kot razkriva Brian Krebs, so najstarejši zasebni dokumenti, ki so bili javno dostopni na internetu, stari 16 let.

Gre za digitalizirane dokumente, ki vsebujejo številke bančnih računov, višine nakazil, bančne izpiske, podatke o kreditih, davčne napovedi, posnetke vozniških dovoljenj, številke zdravstvenega zavarovanja in podobne osebne podatke strank. Dostop do vseh teh dokumentov je bil možen kar iz brskalnika brez kakršnekoli avtentikacije. Zadoščalo je imeti dostop do enega dokumenta, potem pa je bilo možno s spreminjanjem zaporedne številke dokumenta v URL-ju prebrati še ostale. Kot kaže, je bila dostopna vsa uradna komunikacija, ki jo je podjetje v zadnjih 16 letih poslalo komurkoli izmed strank. Najstarejši dostopen dokument ima zaporedno številko 000000075 in sega v let 2003, potem pa s povečevanjem števca sledijo čedalje novejši dokumenti vse do sedanjosti. Najnovejši dokumenti opisujejo dogodke, ki se šele bodo zgodili.

V petek so dostop do dokumentov onemogočili. Ni jasno, od kdaj so bili dostopni, zagotovo pa vsaj od marca 2017. Iz podjetja so sporočili, da so seznanjeni z napako v aplikaciji, ki je omogočala nepooblaščen dostop do podatkov. Ker varnost in zasebnost jemljejo zelo resno, so takoj ukrepali in dostop blokirali, so še dodali. Dodatnih informacij do konca notranjega nadzora ne bodo dajali.