所有的城镇似乎都通过一种产品连接在一起:mapsonline.net，它属于马萨诸塞州一家名为PeopleGIS的公司。该公司为马萨诸塞州、新罕布什尔州和康涅狄格州的地方政府提供信息管理软件。

Ata Hakçıl和他的团队发现了80多个错误配置的Amazon S3数据库，其中存储着一些与自治市相关的数据。这些数据包括住房记录(如契据和税务信息)、营业执照和政府职位的求职申请。

这些文件中的数据具有敏感性，许多表格记录了人们的电子邮件地址、实际地址、电话号码、驾照号码、房产税信息、驾照照片和房产照片。

“这些自治市的数据被存储在几个配置错误的Amazon S3数据库中，它们与MapsOnline共享相似的命名约定。所以我们相信这些城市使用相同的软件解决方案。”

并不是每个市政当局都有同样的信息被泄露，报告称，泄露的文件类型各不相同。研究人员无法估计受辐射影响的人数，因为辐射的形式多种多样。

这家安全公司部署了一台扫描仪，发现了114个亚马逊数据库连接到PeopleGIS上，并以相似的名字命名。报告称，其中28个配置正确，而“86个无需任何密码或加密即可访问”。

研究人员并没有明确的理由解释为什么有些数据被妥善保护，而另一些却没有。

他们建议PeopleGIS简单地“创建数据库并将其交给他们的客户(所有市政当局)，其中一些人确保这些数据被正确配置。”

另一个理论涉及到PeopleGIS的不同员工在没有明确指导方针的情况下，创建和配置每个数据库的潜在问题。

第三个理论是，市政当局自己根据PeopleGIS的基本指导原则创建了数据库，“仅有关于命名格式的指导原则，却没有关于配置的任何指导原则。”

“这一漏洞可能会导致这些城市的公民遭受欺诈和盗窃。地方政府数据库中包含的高度敏感的数据，从电话号码到营业执照到税务记录，很容易被不法分子利用。”

“大部分信息应该只对政府和公民开放，这意味着有人可能会伪装成政府的工作人员来欺骗公民。”

PeopleGIS公司的管理人员没有回应置评请求。（本文出自SCA安全通信联盟，转载请注明出处。）