1.2 Milliarder private dataregistreringer er fundet på en usikret server

1.2 billion people affected by a data leak

De af jer med en aktiv interesse i cybersikkerhed vil ikke være for overrasket over at finde ud af, at forskere har afsløret opdagelsen af endnu en bred åben server, der indeholdt en enorm mængde personlige oplysninger. Denne gang er omfanget af lækagen absolut forbløffende, men hvad der er endnu mere skuffende end det er det faktum, at når du lærer, hvad der skete nøjagtigt, vil du se, hvor uundgåelig denne hændelse var.

Forskere opdager 4 TB personlige oplysninger på en usikker Elasticsearch-server

Den 16. oktober snublede Vinny Troia og Bob Diachenko over en Elasticsearch-server, der ikke var beskyttet af en adgangskode og var tilgængelig for alle, der havde en browser og vidste, hvor de skulle se. De to er ikke nye med denne slags ting. Faktisk er især Bob Diachenko ansvarlig for afsløringen af en hel del lignende lækager. Selv han var dog ret chokeret over størrelsen på de eksponerede data i dette særlige tilfælde.

Databasen vejede ind på en kæmpe 4TB, og den indeholdt enorme 4 milliarder konti. Der var ganske mange duplikater, men selv efter at have fjernet dem så forskerne på de personlige optegnelser for over 1,2 milliarder individer. Indekserne i databasen var ikke ensartede, og de eksponerede data varierede fra post til post. Efter behandling af oplysningerne fandt eksperterne ud af, at den åbne Elasticsearch-server indeholdt blandt andet:

  • Mere end 1 milliard personlige e-mail-adresser.
  • Mere end 400 millioner telefonnumre.
  • Mere end 420 millioner LinkedIn-webadresser.
  • Mere end 1 milliard Facebook-URL'er og konto-id'er samt andre data relateret til brugernes tilstedeværelse på sociale medier.

Databasen indeholdt ingen kreditkortoplysninger, sociale sikkerhedsnumre eller adgangskoder, men berørte personer skulle stadig være på udkig efter tegn på identitetstyveri og svig. Diachenko og Troia delte de lækkede data med Troy Hunt, der indlæste dem i dataovertrædelsestjenesten Have I Been Pwned, hvilket betyder, at du kan gå dertil og kontrollere, om du er blevet påvirket af lækagen eller ej.

Selvfølgelig, så snart de opdagede informationen, tog sikkerhedsforskerne de nødvendige skridt for at bringe dem offline. FBI blev underrettet, men inden de retshåndhævende myndigheder kunne tage handling, blev databasen nedbragt, formodentlig af dens ejer. Det er umuligt at sige, hvornår dataene blev vist på Elasticsearch-serveren for første gang, og hvem der fik adgang til dem, mens de blev eksponeret.

Hvem har skylden?

Hver enkelt af posterne i en database havde et felt mærket "kilde", og værdien i den var enten "PDL" eller "Oxy". "PDL" står for People Data Labs, og "Oxy" kommer fra Oxydata. People Data Labs og Oxydata er de to datainrikningsfirmaer, der har samlet alle disse poster.

Virksomheden hos et datainrikningsfirma drejer sig om at indsamle så meget offentligt tilgængelig information om dig som muligt og oprette en detaljeret profil baseret på hvad den finder. Denne profil sammen med millioner af andre sælges derefter til alle, der er villige til at betale et forudbestemt gebyr. People Data Labs og Oxydata indsamlede faktisk oplysningerne. Dette betyder dog ikke, at de lækkede det.

Efter at have opdaget lækagen, delte Vinny Troia sine fund med Wired's Lily Hay Newman, der rapporterede eksponeringen og kontaktede People Data Labs og Oxydata for at spørge dem, hvad de synes om det. De to virksomheder indrømmede, at de muligvis var den ultimative kilde til de oplysninger, der blev lagt i databasen, men de insisterede begge på, at de ikke havde lidt et dataovertrædelse.

Efter al sandsynlighed betalte en kunde af People Data Labs og Oxydata for alle disse oplysninger, lagde den i en enkelt database og lod dem ligge på den forkert konfigurerede Elasticsearch-server. Martynas Simanauskas, en Oxydata-repræsentant, fortalte Wired, at hans firma har aftaler med sine klienter, der er designet til at sikre, at dataene behandles sikkert. Selv han indrømmede imidlertid, at når klienten først har oplysningerne, er mulighederne for at forhindre misbrug mere eller mindre ikke-eksisterende.

Dette var det vigtigste talepunkt i Troy Hunt's blogindlæg, der blev dedikeret til eksponeringen. Den uheldige kendsgerning er, at datainanrikningsfirmaer som People Data Labs og Oxydata fortsat vil skrabe vores personlige oplysninger fra hvor end de finder dem. De vil også fortsætte med at sælge det, og de mennesker og organisationer, der betaler for det, vil uundgåeligt efterlade det udsat hver nu og da. Uanset om vi kan lide det eller ej, indsamles, organiseres og kopieres vores data mange gange, og det er sikkert at tage netherkablet ud og leve som det er 1960 igen, der er mere eller mindre intet, vi kan gøre ved det. I betragtning af alt dette er det faktum, at netop denne lækage ikke skete før, faktisk ganske overraskende.

November 27, 2019

Efterlad et Svar

VIGTIG! For at kunne fortsætte skal du løse følgende enkle matematik.
Please leave these two fields as is:
Hvad er 3 + 10?