Tietovuodot uhkaavat yksityisyyttä: Kriittisiä tapauksia verkkolahjakorttiyrityksessä ja muualla

Yhdysvaltalainen lahjakortteja myyvä verkkokauppias on ratkaissut kriittisen tietoturvaloukkauksen, jonka seurauksena erittäin arkaluonteiset asiakkaiden henkilöllisyysasiakirjat olivat saatavilla internetissä. Tämä herättää huolta kasvavista riskeistä, joita pakollinen tiedonkeruu asiakkaan tuntemista ja digitaalista henkilöllisyyttä koskevien säännösten nojalla aiheuttaa.

Ongelma tuli ilmi, kun tietoturvatutkija, joka tunnetaan peitenimellä JayeLTee, löysi suojaamattoman tallennuspalvelimen, joka oli yhteydessä MyGiftCardSupplyyn. TechCrunchin mukaan palvelin, jolta puuttui edes perussalasanasuojaus, sisälsi satojatuhansia valtion myöntämiä henkilöllisyystodistuksia, kuten ajokortteja ja passeja, sekä asiakkaiden lähettämiä omakuvia. Yhtiö tarvitsee näitä asiakirjoja noudattaakseen Yhdysvaltain rahanpesun vastaisia lakeja, jotka edellyttävät henkilöllisyyden tarkistamista tietyissä liiketoimissa.

Vaikka JayeLTee yritti ilmoittaa MyGiftCardSupplylle altistumisesta, yritys ei vastannut, ennen kuin TechCrunch kertoi tietoturvaloukkauksesta. MyGiftCardSupplyn perustaja Sam Gastro vahvisti asian myöhemmin. ”Tiedostot ovat nyt turvassa, ja teemme KYC-varmennusmenettelyn täydellisen tarkastuksen”, Gastro totesi. Hän lupasi myös, että yritys poistaa henkilöllisyysasiakirjat jatkossa viipymättä todentamisen jälkeen.

Gastro kieltäytyi paljastamasta, kuinka kauan tiedot olivat olleet alttiina tai ilmoitetaanko asiakkaille tietomurrosta. Hän ei myöskään kertonut, miksi yhtiö ei ottanut huomioon tutkijan alkuperäistä varoitusta tai miksi se ei toiminut aiemmin tietojen turvaamiseksi.

JayeLTeen mukaan Microsoftin Azure-pilvialustalla isännöity palvelin sisälsi yli 600 000 kuvaa henkilöllisyystodistuksista ja omakuvia noin 200 000 asiakkaalta. Nämä aineistot ovat osa kiistanalaisia KYC-menettelyjä, joiden tarkoituksena on vahvistaa henkilöllisyys ja estää petokset.

Tämä tapaus ei ainoastaan korosta väärin käsiteltyjen henkilötietojen vaaroja, vaan se herättää myös laajempia huolenaiheita riskeistä, jotka liittyvät kasvaviin tiedonkeruuvaltuuksiin.

Kun hallitukset kaikkialla maailmassa pyrkivät tiukentamaan KYC-säännöksiä ja ottamaan käyttöön digitaalisia henkilöllisyysjärjestelmiä, yritykset joutuvat keräämään ja tallentamaan yhä suurempia määriä arkaluonteisia tietoja. Vaikka tällaisilla laajoilla tietovaatimuksilla pyritäänkin hillitsemään petoksia ja parantamaan turvallisuutta, ne myös lisäävät tietomurtojen todennäköisyyttä ja altistavat asiakkaat merkittäville yksityisyys- ja turvallisuusriskeille.

Raportin mukaan JayeLTee paljasti hiljattain toisen KYC-tietoihin liittyvän kätkön, joka liittyy Roomsteriin, kämppäkavereiden välitysalustaan. Tietomurto sisälsi noin 320 000 kuvaa passeista ja ajokorteista. Vaikuttaneiden henkilöiden kokonaismäärä on edelleen epäselvä, mutta Roomsterin päälakimies vähätteli tapausta ja vakuutti, ettei ollut ”mitään syytä uskoa”, että tietoihin oli päästy käsiksi tai niitä oli käytetty väärin.

Lähde