Cercetatorul de securitate cibernetică, Jeremiah Fowler, a descoperit și a raportat către vpnMentor despre o bază de date neprotejată cu o parolă, care conținea peste 500.000 de înregistrări care conțineau documente de identificare și alte informații potențial sensibile. Documentele par să fie asociate cu baza de date a poliției naționale irlandeze privind confiscările de automobile și contractorii privați de remorcare și depozitare.
Baza de date conținea înregistrări de la numeroase companii private de remorcare și depozitare care acționau drept contractori privați în numele Garda Síochána, cunoscută și ca serviciul național de poliție irlandez. Înregistrările au inclus înștiințări de confiscare a automobilului, precum și avizele de distrugere, documente de eliberare, documente de identificare scanate, anchete de investigare a asigurărilor, certificate de înmatriculare a vehiculului și alte documente relevante pentru reținerea unui vehicul. În plus, au existat foi de calcul și rapoarte lunare care au inclus informații despre vehicul și de înmatriculare, numele proprietarilor de vehicule, informații despre contractant și alte date potențial sensibile. Numărul total de documente a fost de 521.043, cu o dimensiune totală de 271,8 GB.
Conform legislației irlandeze, atunci când un vehicul este reținut, proprietarul înregistrat trebuie să prezinte mai multe documente, inclusiv acte de identitate, documentație de asigurare, chitanțe pentru taxe și plata taxelor de recuperare/depozitare.
Pe baza a ceea ce a fost văzut în baza de date, se estimează că există aproximativ 2 până la 5 documente legate de fiecare caz în parte. Având în vedere jumătate de milion de înregistrări conținute în baza de date, aceasta înseamnă că o medie de 150.000 de proprietari de vehicule ar putea fi potențial afectați de această scurgere de date.
Cercetătorul Jeremiah Fowler spune că nu a putut găsi nicio informație oficială disponibilă public cu privire la numărul total de vehicule confiscate pe an, dar un articol de la Irish Examiner din 2020 a susținut că aproximativ 2.500 de vehicule sunt reținute în fiecare lună, ceea ce echivalează cu 30.000 pe an. Având în vedere că înregistrările pe care acesta le-a văzut s-au întins pe mai mulți ani, începând din 2017, aceste cifre sunt în concordanță cu estimarea anterioară a numărului de persoane potențial afectate de încălcare.
Fowler spune că inițial, nu a putut stabili exact cine deținea baza de date din cauza numărului de companii de remorcare și depozitare enumerate în documente. Singurul numitor comun din toate documentele a fost Garda Síochána, așa că acesta le-a trimis prompt o notificare de divulgare responsabilă direct, în speranța că vor lua măsuri pentru a asigura expunerea.
Fowler spune că baza de date a fost restricționată mai târziu în acea zi și, deși toate înregistrările au menționat Garda, se pare că nu dețin sau gestionează baza de date și aparținea unui contractant privat de tehnologie cu sediul în Limerick, Irlanda. Antreprenorul de tehnologie a acționat rapid și profesionist și l-au contactat pentru a confirma că înregistrările sunt sigure și pentru a se asigura că nu a existat nicio intenție rău intenționată în descoperirea și dezvăluirea acestuia.
Se pare că Garda Síochána externalizează gestionarea tehnologiei, remorcarea și depozitarea mașinilor unor contractori privați. Deși înregistrările indică că acestea sunt legate oficial de confiscarea și depozitarea vehiculelor de către Garda, este important de reținut că Garda Síochána nu a fost direct responsabilă pentru depozitul de stocare în cloud configurat greșit care a dus la încălcarea datelor.
Printre documentele expuse public se află și acte de identitate ale unor cetățeni români:
Reglementările GDPR (Regulamentul general privind protecția datelor) se aplică în Irlanda, iar organizațiile trebuie să ia în serios incidentele de date și să notifice prompt atât autoritățile relevante, cât și persoanele afectate. GDPR acordă persoanelor fizice dreptul de a avea datele personale protejate și de a fi informate cu privire la încălcările datelor care le pot afecta. Dacă primiți vreodată o astfel de notificare sau aveți motive să credeți că datele dumneavoastră ar fi putut fi expuse online, este important să identificați și să reduceți riscurile potențiale.
În funcție de tipul de date care au fost expuse, există diferite lucruri pe care le puteți face. În cazurile în care datele financiare au fost expuse, ar trebui să monitorizați extrasele dvs. bancare și ale cardului de credit pentru orice tranzacție neautorizată sau suspectă. Dacă observați ceva ieșit din comun, ar trebui să acționați rapid pentru a raporta incidentul băncii sau pentru a îngheța contul. Un alt risc potențial serios este ca infractorii să folosească documente de identificare expuse online pentru furtul de identitate. Aceasta include infractori care vă uzurpă identitatea, obținerea de servicii financiare în numele dvs. și chiar utilizarea documentelor ca șablon pentru a crea ID-uri false. Monitorizarea rapoartelor de credit sau abonarea la un serviciu de monitorizare a creditului poate ajuta la detectarea oricăror semne de furt de identitate și la limitarea daunelor sau a conturilor frauduloase.
