Эксперт по безопасности, который сообщил полиции, сказал, что ему удалось получить доступ к квитанциям, содержащим данные дебетовой карты, а также к водительским правам и сводным отчетам об авариях.
Обнаружено более полумиллиона документов, включая детали страховых расследований, свидетельства о регистрации транспортных средств, уведомления об изъятии транспортных средств и данные платежных карт.
Взлом был вызван ошибкой программного обеспечения в компании, предоставляющей ИТ-услуги в Лимерике, которую обслуживают буксировочные компании, работающие на An Garda Síochána.
Гарда настаивает, что силы не несут ответственности за нарушение, а комиссар по защите данных (DPC) в настоящее время пытается определить, кто в конечном итоге несет ответственность как контролер данных.
Неясно, как долго сохранялась уязвимость безопасности и сколько людей могло иметь доступ к данным граждан, состоящим из 512 000 документов, датированных 2017 годом.
В августе о взломе в полицию сообщил международный исследователь кибербезопасности Джеремайя Фаулер.
Фаулер сказал, что обнаружил незащищенную онлайн-базу данных, содержащую электронные таблицы, информацию о регистрации транспортных средств, водительские права и другие конфиденциальные данные.
Онлайн-база данных была частью системы хранения данных 11 компаний-эвакуаторов, которые хранили данные об отбуксированных транспортных средствах для An Garda Síochána и других организаций.
Когда An Garda Síochána была уведомлена, она связалась с ИТ-компанией Лимерика, а также провела собственное расследование данных, в результате которого пришла к выводу, что риск для граждан был «ограниченным».
Однако г-н Фаулер сказал, что ему удалось получить доступ к квитанциям, содержащим полную информацию о дебетовой карте, а также к водительским правам и сводным отчетам об авариях.
«Эта информация потенциально может привести к несанкционированным мошенническим обвинениям», — сказал он.
По его словам, другие доступные данные выявили документы, классифицированные как «конфиденциальные», в том числе краткие отчеты об авариях, «содержащие имена и данные водителей, свидетелей и нескольких полицейских».
Он добавил, что многие другие отчеты включают такие детали, как сборы, регистрационные номера и имена физических лиц.
Г-н Фаулер добавил: «Несколько других документов, которые были засекречены, были публично обнародованы».
Обнаруженные изображения представляли собой сканы конфиденциальных личных документов в высоком разрешении, включая электронные письма и текстовые сообщения, которые могли быть использованы для кражи личных данных или мошенничества.
Представитель полиции заявил, что расследование заявлений было начато «сразу» после того, как г-н Фаулер довел дело до ее сведения.
«В соответствии с контрактом An Garda Síochána с отдельными буксирными компаниями существуют четкие обязательства отдельных буксирных компаний защищать любую информацию, предоставленную им An Garda Síochána, включая личные данные», — сказал представитель.
«Это обязательство также распространяется на ситуации, когда отдельные буксирные компании предоставляют эту информацию третьей стороне для хранения».
Представитель сообщил, что 11 буксировочных компаний, которыми пользуется An Garda Síochána и другие государственные органы, заключили контракт с базирующейся в Лимерике компанией, предоставляющей ИТ-услуги, на хранение своих данных в «облаке».
При обращении к владельцу компании, оказывающей ИТ-услуги, он рассказал, что проблема возникла, когда была применена новая версия программного обеспечения для обслуживания данных, предоставляемых компаниям.
Он назвал эту проблему «ошибкой» и сказал, что его компания предоставляет аутсорсинговые услуги буксирным компаниям и другим участвующим компаниям и не заключила контракт напрямую с An Garda Síochána. Он также сказал, что большая часть раскрытых данных не имеет отношения к An Garda Síochána.
Он сказал, что компания обеспечила безопасность базы данных в течение 70 минут после получения уведомления об уязвимости, а затем провела судебно-медицинскую экспертизу. Он сказал, что компания действовала в соответствии с конфиденциальностью данных и юридическими протоколами при обращении в соответствующие органы, включая комиссара по защите данных.
Представитель DPC заявил, что, хотя он получил уведомление о взломе от компании, предоставляющей ИТ-услуги, он не был контролером данных, а это означает, что компания, предоставляющая ИТ-услуги, не несет окончательной ответственности за защиту информации.
Понятно, что сейчас ЦОД пытается определить, кто в конечном итоге несет ответственность за раскрытые данные в качестве контролера данных.
Г-н Фаулер сказал, что хакеру или ИТ-специалисту не составит труда получить доступ к раскрытым данным. «Единственное, что нужно для просмотра, когда у вас есть имя базы данных, — это встроенный инструмент браузера», — сказал он. «Никакого специального программного обеспечения не потребуется».
