Auf einem ungesicherten Server wurden 1,2 Milliarden private Datensätze gefunden

Diejenigen unter Ihnen, die sich aktiv für Cybersicherheit interessieren, werden nicht überrascht sein, herauszufinden, dass Forscher die Entdeckung eines weiteren offenen Servers bekannt gegeben haben, auf dem eine riesige Menge persönlicher Informationen gespeichert sind. Dieses Mal ist das Ausmaß des Lecks absolut umwerfend, aber was noch enttäuschender ist, ist die Tatsache, dass Sie, wenn Sie erfahren, was genau passiert ist, sehen, wie unvermeidlich dieser Vorfall war.

Forscher entdecken 4 TB persönliche Informationen auf einem ungesicherten Elasticsearch-Server

Am 16. Oktober stießen Vinny Troia und Bob Diachenko auf einen Elasticsearch-Server, der nicht durch ein Passwort geschützt war und für jeden zugänglich war, der einen Browser hatte und wusste, wo er suchen musste. Die beiden sind nicht neu in so etwas. In der Tat, Bob Diachenko, insbesondere ist verantwortlich für die Offenlegung von ganz wenige ähnlichen Lecks. Sogar er war von der Größe der exponierten Daten in diesem speziellen Fall ziemlich schockiert.

Die Datenbank wog satte 4 TB und verfügte über massive 4 Milliarden Konten. Es gab einige Duplikate, aber selbst nachdem sie entfernt worden waren, untersuchten die Forscher die persönlichen Aufzeichnungen von über 1,2 Milliarden Personen. Die Indizes in der Datenbank waren nicht einheitlich, und die exponierten Daten variierten von Datensatz zu Datensatz. Nach der Aufbereitung der Informationen stellten die Experten fest, dass auf dem offenen Elasticsearch-Server unter anderem:

• Mehr als 1 Milliarde persönliche E-Mail-Adressen.
• Mehr als 400 Millionen Telefonnummern.
• Über 420 Millionen LinkedIn-URLs.
• Über 1 Milliarde Facebook-URLs und Konto-IDs sowie andere Daten im Zusammenhang mit der Präsenz der Benutzer in sozialen Medien.

Die Datenbank enthielt keine Kreditkartendaten, Sozialversicherungsnummern oder Passwörter. Betroffene Personen sollten jedoch nach Anzeichen von Identitätsdiebstahl und Betrug Ausschau halten. Diachenko und Troia teilten die durchgesickerten Daten mit Troy Hunt, der sie in den Warndienst für Datenschutzverletzungen geladen hat. Dies bedeutet, dass Sie dorthin gehen und überprüfen können, ob Sie von dem Leck betroffen sind oder nicht.

Unnötig zu erwähnen, dass die Sicherheitsforscher, sobald sie die Informationen entdeckten, die notwendigen Schritte unternahmen, um sie offline zu schalten. Das FBI wurde informiert, aber bevor die Strafverfolgungsbehörden Maßnahmen ergreifen konnten, wurde die Datenbank heruntergefahren, vermutlich von ihrem Besitzer. Es ist unmöglich zu sagen, wann die Daten zum ersten Mal auf dem Elasticsearch-Server angezeigt wurden und wer auf sie zugegriffen hat, während sie verfügbar waren.

Wer ist schuld?

Jeder einzelne Datensatz in einer Datenbank hatte ein Feld mit der Bezeichnung "Quelle", und der Wert darin war entweder "PDL" oder "Oxy". "PDL" steht für People Data Labs und "Oxy" stammt von Oxydata. People Data Labs und Oxydata sind die beiden Datenanreicherungsunternehmen, die alle diese Aufzeichnungen gesammelt haben.

Das Geschäft eines Datenanreicherungsunternehmens dreht sich darum, möglichst viele öffentlich zugängliche Informationen über Sie zu sammeln und basierend auf den gefundenen Informationen ein detailliertes Profil zu erstellen. Dieses Profil wird dann zusammen mit Millionen anderen an jeden verkauft, der bereit ist, eine festgelegte Gebühr zu zahlen. People Data Labs und Oxydata haben die Informationen tatsächlich gesammelt. Dies bedeutet jedoch nicht, dass sie es durchgesickert sind.

Nachdem er das Leck entdeckt hatte, teilte Vinny Troia seine Erkenntnisse mit Lily Hay Newman von Wired, die über die Exposition berichtete und People Data Labs und Oxydata kontaktierte, um sie zu fragen, was sie davon halten. Die beiden Unternehmen räumten ein, dass sie möglicherweise die ultimative Quelle für die in die Datenbank eingegebenen Informationen sind, bestanden jedoch darauf, dass sie keinen Datenverstoß erlitten hatten.

Höchstwahrscheinlich hat ein Kunde von People Data Labs und Oxydata für all diese Informationen bezahlt, sie in eine einzige Datenbank gestellt und sie auf dem falsch konfigurierten Elasticsearch-Server belassen. Martynas Simanauskas, ein Vertreter von Oxydata, erklärte gegenüber Wired, dass sein Unternehmen mit seinen Kunden Vereinbarungen getroffen habe, um die sichere Verarbeitung der Daten zu gewährleisten. Sogar er gab jedoch zu, dass, sobald der Kunde die Informationen hat, die Möglichkeiten zur Verhinderung von Missbrauch mehr oder weniger nicht existieren.

Dies war das Hauptgespräch in Troy Hunts Blogpost, der sich mit der Belichtung befasste. Die bedauerliche Tatsache ist, dass Datenanreicherungsunternehmen wie People Data Labs und Oxydata weiterhin unsere persönlichen Daten von jedem Ort aus durchsuchen, an dem sie sie finden können. Sie werden es auch weiterhin verkaufen, und die Leute und Organisationen, die dafür bezahlen, werden es zwangsläufig hin und wieder offen legen. Unabhängig davon, ob es uns gefällt oder nicht, unsere Daten werden viele Male gesammelt, organisiert und kopiert. Sie sind sicher, wenn Sie das Ethernet-Kabel abziehen und wie 1960 leben. Wir können praktisch nichts dagegen tun. In Anbetracht dessen ist die Tatsache, dass dieses bestimmte Leck nicht früher aufgetreten ist, eigentlich ziemlich überraschend.