Το PDF Pro και το Help PDF διαρρέουν πάνω από 89.000 έγγραφα λόγω ελλιπούς εποπτείας ασφάλειας

Σε μια ανησυχητική αποκάλυψη, η ερευνητική ομάδα του Cybernews αποκάλυψε μια μαζική διαρροή δεδομένων που αφορά δύο δημοφιλείς online κατασκευαστές PDF, το PDF Pro και το Help PDF. Αυτές οι υπηρεσίες, στις οποίες συχνά βασίζονται οι χρήστες για τη γρήγορη δημιουργία PDF και την υποβολή φορμών, βρέθηκαν να διαρρέουν πάνω από 89.000 έγγραφα λόγω ανεπαρκών πρακτικών ασφάλειας δεδομένων.

Παρά τις πολλαπλές προσπάθειες ειδοποίησης των παρόχων υπηρεσιών, ένας εκτεθειμένος κάδος Amazon S3 παραμένει ανοιχτός στο κοινό, αφήνοντας τα ευαίσθητα δεδομένα των χρηστών ευάλωτα σε κακόβουλους φορείς. Τη στιγμή που γράφονταν αυτές οι γραμμές, τα έγγραφα συνέχιζαν να φορτώνονται, συμβάλλοντας εν αγνοία τους στην παραβίαση των δεδομένων.

Τόσο το PDF Pro (pdf-pro.io) όσο και το Help PDF (help-pdf.com), που λειτουργούν από την ίδια οντότητα με έδρα το Ηνωμένο Βασίλειο και μοιράζονται παρόμοιο σχεδιασμό, προσφέρουν εργαλεία για μετατροπή, συμπίεση, επεξεργασία και υπογραφή PDF. Η ομάδα Cybernews ανέφερε ότι 87.818 έγγραφα εκτέθηκαν μέσω του PDF Pro και 1.244 μέσω του Help PDF, συνολικά 89.062 αρχεία. Τα έγγραφα αυτά περιλαμβάνουν εξαιρετικά ευαίσθητες πληροφορίες, όπως διαβατήρια, άδειες οδήγησης, πιστοποιητικά και συμβάσεις, που ενέχουν σοβαρούς κινδύνους για την ασφάλεια.

Οι ερευνητές προειδοποίησαν ότι οι εγκληματίες θα μπορούσαν να εκμεταλλευτούν αυτά τα δεδομένα για δόλιες δραστηριότητες, όπως κλοπή ταυτότητας, υποβολή αιτήσεων για δάνεια, ενοικίαση ακινήτων ή διενέργεια οικονομικών συναλλαγών με ψεύτικες ταυτότητες. Η διαρροή ανοίγει επίσης την πόρτα στην πλαστογράφηση εγγράφων, επιτρέποντας στους επιτιθέμενους να δημιουργήσουν ψεύτικες ταυτότητες ή να χειραγωγήσουν νομικές συμφωνίες, προκαλώντας ενδεχομένως σημαντικές νομικές επιπτώσεις για τα θύματα.

Για τον μετριασμό των κινδύνων, η ομάδα της Cybernews συνέστησε άμεσες ενέργειες για την ασφάλεια των δεδομένων που πρέπει να γίνουν από τις εταιρίες. Οι προσπάθειες για την απόκτηση επίσημης απάντησης από τους παρόχους υπηρεσιών ήταν μέχρι στιγμής ανεπιτυχείς, αφήνοντας τους χρήστες σε επισφαλή θέση, καθώς η παραβίαση δεδομένων παραμένει ανεπίλυτη.