1,2 δισεκατομμύρια ιδιωτικά αρχεία δεδομένων έχουν βρεθεί σε έναν ακάλυπτο διακομιστή

Όσοι από εσάς με ενεργό ενδιαφέρον για την ασφάλεια στον κυβερνοχώρο δεν θα εκπλαγούν για να διαπιστώσουν ότι οι ερευνητές έχουν αποκαλύψει την ανακάλυψη ενός ακόμη ευρέως ανοικτού εξυπηρετητή που κρατούσε ένα τεράστιο όγκο προσωπικών πληροφοριών. Αυτή τη φορά, η κλίμακα της διαρροής είναι απόλυτα μυαλό, αλλά αυτό που είναι ακόμη πιο απογοητευτικό από αυτό είναι ότι όταν μάθετε τι συνέβη ακριβώς, θα δείτε πόσο αναπόφευκτο ήταν αυτό το περιστατικό.

Οι ερευνητές ανακαλύπτουν 4TB προσωπικών πληροφοριών σε ένα μη ασφαλισμένο διακομιστή Elasticsearch

Στις 16 Οκτωβρίου, ο Vinny Troia και ο Bob Diachenko σκόνταψαν σε ένα διακομιστή Elasticsearch που δεν προστατεύεται από κωδικό πρόσβασης και ήταν προσβάσιμος σε οποιονδήποτε είχε πρόγραμμα περιήγησης και γνώριζε πού να κοιτάξει. Οι δύο δεν είναι καινούργιοι σε κάτι τέτοιο. Στην πραγματικότητα, ο Bob Diachenko, ειδικότερα, είναι υπεύθυνος για την αποκάλυψη αρκετών παρόμοιων διαρροών. Ακόμα και ήταν αρκετά συγκλονισμένος από το μέγεθος των δεδομένων που εκτέθηκαν στη συγκεκριμένη περίπτωση.

Η βάση δεδομένων ζυγίστηκε σε ένα τεράστιο 4TB, και πραγματοποιήθηκε μια τεράστια 4 δισεκατομμύρια λογαριασμούς. Υπήρχαν αρκετά αντίγραφα, αλλά ακόμη και μετά την κατάργησή τους, οι ερευνητές εξέτασαν τα προσωπικά αρχεία άνω των 1,2 δισεκατομμυρίων ατόμων. Οι δείκτες στη βάση δεδομένων δεν ήταν ομοιόμορφοι και τα εκτεθειμένα δεδομένα διέφεραν από την εγγραφή στην εγγραφή. Μετά την επεξεργασία των πληροφοριών, οι ειδικοί διαπίστωσαν ότι ο ανοικτός εξυπηρετητής Elasticsearch πραγματοποίησε μεταξύ άλλων:

• Περισσότερα από 1 δισεκατομμύριο προσωπικές διευθύνσεις ηλεκτρονικού ταχυδρομείου
• Περισσότερα από 400 εκατομμύρια τηλεφωνικούς αριθμούς.
• Περισσότερα από 420 εκατομμύρια διευθύνσεις LinkedIn.
• Περισσότερα από 1 δισεκατομμύριο διευθύνσεις URL και αναγνωριστικά λογαριασμού Facebook καθώς και άλλα δεδομένα που σχετίζονται με την παρουσία των κοινωνικών μέσων των χρηστών.

Η βάση δεδομένων δεν περιείχε στοιχεία πιστωτικής κάρτας, αριθμούς κοινωνικής ασφάλισης ή κωδικούς πρόσβασης, αλλά τα άτομα που πλήττονται θα πρέπει να εξακολουθούν να είναι επιφυλακτικά για τυχόν σημάδια κλοπής ταυτότητας και απάτης. Diachenko και Τροία μοιράζονται τα δεδομένα που διέρρευσαν με την Τροία Hunt, ο οποίος θα τοποθετηθεί στο Have I Been Pwned υπηρεσία ειδοποίησης παραβίασης δεδομένων, πράγμα που σημαίνει ότι μπορείτε να πάτε εκεί και να ελέγξει κατά πόσον ή όχι θα έχουν επηρεαστεί από τη διαρροή.

Περιττό να πούμε ότι, μόλις ανακάλυψαν τις πληροφορίες, οι ερευνητές της ασφάλειας έλαβαν τα απαραίτητα μέτρα για να τα βγάλουν εκτός σύνδεσης. Το FBI ενημερώθηκε, αλλά πριν οι αρχές επιβολής του νόμου μπορούσαν να αναλάβουν δράση, η βάση δεδομένων έπεσε κάτω, πιθανώς από τον ιδιοκτήτη του. Είναι αδύνατο να πούμε πότε τα δεδομένα εμφανίστηκαν για πρώτη φορά στον εξυπηρετητή Elasticsearch και ποιος το έβγαλε ενώ ήταν εκτεθειμένο.

Ποιός φταίει?

Κάθε μία από τις εγγραφές σε μια βάση δεδομένων είχε ένα πεδίο με την ετικέτα "πηγή", και η αξία σε αυτήν ήταν είτε "PDL" είτε "Oxy". Το "PDL" σημαίνει People Data Labs και το "Oxy" προέρχεται από την Oxydata. Τα People Labs Labs και Oxydata είναι οι δύο εταιρείες εμπλουτισμού δεδομένων που συγκέντρωσαν όλα αυτά τα αρχεία.

Η επιχείρηση μιας επιχείρησης εμπλουτισμού δεδομένων περιστρέφεται γύρω από τη συλλογή όσο το δυνατόν περισσότερων διαθέσιμων στο κοινό πληροφοριών για εσάς και τη δημιουργία ενός λεπτομερούς προφίλ με βάση αυτό που βρίσκει. Αυτό το προφίλ, μαζί με εκατομμύρια άλλα, πωλείται στη συνέχεια σε οποιονδήποτε επιθυμεί να πληρώσει προκαθορισμένο τέλος. Τα People Labs Labs και το Oxydata όντως συγκέντρωσαν τις πληροφορίες. Αυτό όμως δεν σημαίνει ότι διαρρέουν.

Αφού ανακάλυψε τη διαρροή, ο Vinny Troia μοιράστηκε τα ευρήματά του με τον Lily Hay Newman του Wired, ο οποίος ανέφερε την έκθεση και ήλθε σε επαφή με τα People Data Labs και Oxydata για να τους ρωτήσει τι σκέφτονται. Οι δύο εταιρείες παραδέχθηκαν ότι θα μπορούσαν να είναι η τελική πηγή των πληροφοριών που τέθηκαν στη βάση δεδομένων, αλλά και οι δύο επέμειναν ότι δεν είχαν υποστεί παραβίαση δεδομένων.

Κατά πάσα πιθανότητα, ένας πελάτης των People Data Labs και Oxydata πλήρωσε για όλες αυτές τις πληροφορίες, το έβαλε σε μια ενιαία βάση δεδομένων και το άφησε στον εσφαλμένα διαμορφωμένο εξυπηρετητή Elasticsearch. Η Martynas Simanauskas, εκπρόσωπος της Oxydata, δήλωσε στον Wired ότι η εταιρεία του έχει συνάψει συμφωνίες με τους πελάτες του προκειμένου να εξασφαλίσει την ασφαλή επεξεργασία των δεδομένων. Ακόμα και παραδέχτηκε ότι, μόλις ο πελάτης έχει τις πληροφορίες, οι επιλογές για την πρόληψη της κατάχρησης είναι λίγο πολύ ανύπαρκτες.

Αυτό ήταν το βασικό σημείο ομιλίας στην ιστορία του Troy Hunt για την έκθεση. Το ατυχές γεγονός του θέματος είναι ότι οι εταιρείες εμπλουτισμού δεδομένων, όπως το People Data Labs και το Oxydata, θα συνεχίσουν να εξαγνίζουν τις προσωπικές πληροφορίες μας από όπου και αν βρίσκουν. Θα συνεχίσουν επίσης να το πωλούν, και οι άνθρωποι και οι οργανώσεις που πληρώνουν γι 'αυτό αναπόφευκτα θα την αφήνουν εκτεθειμένες κάθε τόσο. Ανεξάρτητα από το αν μας αρέσει ή όχι, τα δεδομένα μας συλλέγονται, οργανώνονται και αντιγράφονται πολλές φορές και είναι ασφαλή για την αποσύνδεση του καλωδίου ethernet και το να ζουν όπως και πάλι το 1960, δεν μπορούμε να κάνουμε κάτι παραπάνω. Λαμβάνοντας υπόψη όλα αυτά, το γεγονός ότι αυτή η συγκεκριμένη διαρροή δεν συνέβη νωρίτερα είναι πραγματικά εκπληκτικό.