Am 3. April Webseite Planet führte ein Web-Mapping-Projekt durch, als es ungesicherte AWS S3-Daten-Buckets entdeckte, die einer staatlichen Gesundheitsbehörde in Nigeria gehörten. Diese Buckets enthielten etwa 75.000 Einträge zu geschätzten 37.000 Personen – insgesamt etwa 45 GB, einschließlich Ausweisdokumenten und Fotos von Personen, die bei der Agentur registriert waren. Die Buckets datierten vom Januar 2021 und waren laut Website Planet zum Zeitpunkt der Entdeckung live und wurden aktualisiert.
Die als Plateau State Contributory Healthcare Management Agency (PLASCHEMA) bekannte Agentur wurde im September 2020 vom Gouverneur des Bundesstaates, Simon Bako Lalong, ins Leben gerufen und war darauf ausgerichtet, den Bewohnern des nigerianischen Bundesstaates Plateau eine kostengünstige und zugängliche Gesundheitsversorgung anzubieten.
Am 5. April kontaktierte Website Planet die nigerianischen Behörden und informierte sie über die exponierten Datenspeicher. Aber Website Planet sagt, dass die Daten-Buckets bis Ende Juli aktiv und ungesichert blieben. Es ist nicht bekannt, ob böswillige Akteure die Daten gefunden haben, bevor sie gesichert wurden, sagt ein Sprecher von Website Planet, aber „je länger sie offen gelassen wurden, desto wahrscheinlicher könnten sie von böswilligen Parteien abgefangen werden.“ Persönliche Informationen wie die in den Eimern gefundenen könnten für Identitätsdiebstahl ausgenutzt werden, der zur Eröffnung von sozialen Medien und virtuellen Bank- oder Kreditkonten verwendet werden könnte.
Am 23. Juli, Tage nachdem die ungesicherten Eimer verschlossen wurden, sagte Fabong Yildam, Generaldirektor von PLASCHEMA, bestritten jegliche Datenverletzung oder Offenlegung in einer Pressekonferenz.
Der Vorfall ist leider typisch für weit verbreitete Cybersicherheitsprobleme in Nigeria, wo Vorschriften unwirksam sind, schlechte Praktiken weit verbreitet sind und die öffentliche Offenlegung von Sicherheitsverletzungen oft langsam und unzureichend erfolgt.
„Viele Organisationen in entwickelten Ländern kommunizieren, wenn sie Fälle von Cyberangriffen haben, was die Cyber-Resilienz und eine weit verbreitete Reaktion auf Vorfälle fördert“, sagt Confidence Staveley, ein nigerianischer Sicherheitsanalyst und Geschäftsführer der Cybersafe Foundation, einer Sicherheitsberatungs- und Interessenvertretung. „Zurück Hier sehen wir jedoch, dass viele Organisationen das Auftreten von Cyberangriffen und Datenschutzverletzungen im Allgemeinen absolut leugnen, selbst wenn unbestreitbare Beweise vorliegen, oder dass sie den Vorfall drastisch herunterspielen.“
Im August 2020 sollen zwei große nigerianische Banken Datenschutzverletzungen erlitten haben, bei denen die Finanzdaten ihrer Kunden preisgegeben wurden. Keine der Banken antwortete erst Tage später, und dann waren ihre Pressemitteilungen vage, weder leugnen noch zugeben zum Auftreten einer Datenschutzverletzung.
Anfang dieses Jahres, im Juli, auch David Hundeyin, ein unabhängiger nigerianischer Journalist berichtete über eine mögliche Kompromittierung von E-Mails der Regierung des Bundesstaates Lagos und den Verkauf dieser E-Mails auf dem dunklen Markt. Die Regierung des Bundesstaates Lagos und die nigerianischen Cybersicherheitsbehörden schwiegen zu den Behauptungen von Hundeyin und reagierten weder auf den mutmaßlichen Verstoß noch leugneten sie ihn.
Indem diese Agenturen nicht kommunizieren, können sie ihre Kunden und andere Interessengruppen nicht mit den Informationen ausstatten, die sie benötigen, um sich selbst zu schützen und jedem, der einem potenziellen Verstoß ausgesetzt ist, umsetzbare Ratschläge zu geben. Der Mangel an Kommunikation, sagt Staveley, untergräbt zusammen mit vielen schlechten Cybersicherheitspraktiken die Cybersicherheit und den Datenschutz in Nigeria und schafft einen schwerwiegenden Mangel an Vertrauen und Kapazität.