Transport for NSW, la autoridad de transporte de Nueva Gales del Sur, Australia, está en proceso de notificar a decenas de miles de usuarios que la información completa de sus licencias de conducir se ha visto expuesta debido a un error en su implementación en la nube. Esta información fue descubierta por el especialista en seguridad Bob Diachenko, quien detectó la filtración mientras trabajaba en la investigación de otro incidente.
Según Diachenko fue muy fácil acceder a la información expuesta, alojada en un bucket de Amazon Web Services (AWS); una vez dentro de la carpeta, el investigador encontró miles de escaneos por ambos lados de las licencias de conducir, además de múltiples notificaciones de tránsito. En total, la carpeta contenía 1088,535 escaneos, equivalentes a unas 54 mil licencias únicas.
Cabe señalar que las licencias emitidas por la autoridad de Nueva Gales del Sur contienen detalles como nombres completos, fotos, fechas de nacimiento y domicilio de los conductores, por lo que este es un serio incidente de seguridad.
En su reporte, Diachenko menciona que no está claro por cuánto tiempo permaneció expuesta la información, aunque señala que unos cuántos días serían más que suficientes para que los actores de amenazas encontraran la información comprometida: “Miles de usuarios podrían estar expuestos a diversos fraudes; un criminal podría usar esta información para obtener un préstamo a nombre de la víctima o usar datos expuestos en otros incidentes para desplegar ataques posteriores”, menciona el experto.
Además del riesgo de fraude, expertos en seguridad informática mencionan que la información expuesta puede ser comercializada en foros de hacking, por lo que eventualmente los afectados enfrentarán nuevos intentos de ataque. Al respecto, la autoridad de transporte asegura que este incidente no está relacionado con ningún sistema gubernamental posiblemente afectado.
“Transport for NSW está trabajando con los mejores especialistas en ciberseguridad para investigar un incidente relacionado con un bucket de AWS que contiene información personal, incluyendo licencias de conducir”, menciona un breve mensaje revelado por la autoridad de transporte hace unos días.
Al respecto, un representante de la Oficina del Comisionado de Privacidad de Nueva Gales del Sur menciona que el incidente podría estar relacionado con un problema de seguridad afectando a una compañía privada: “Entendemos que una empresa comercial no relacionada con las oficinas gubernamentales es responsable de este incidente”, menciona el representante. El gobierno de Nueva Gales del Sur ha sido enfático en señalar que sus sistemas informáticos no se vieron comprometidos.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.