Se han encontrado 1.200 millones de registros de datos privados en un servidor no seguro

1.2 billion people affected by a data leak

Aquellos de ustedes con un interés activo en la ciberseguridad no se sorprenderán demasiado al descubrir que los investigadores han revelado el descubrimiento de otro servidor abierto que contenía una gran cantidad de información personal. Esta vez, la escala de la fuga es absolutamente alucinante, pero lo que es aún más decepcionante es el hecho de que cuando descubra qué sucedió exactamente, verá cuán inevitable fue este incidente.

Los investigadores descubren 4 TB de información personal en un servidor Elasticsearch no seguro

El 16 de octubre, Vinny Troia y Bob Diachenko se toparon con un servidor Elasticsearch que no estaba protegido por una contraseña y era accesible para cualquiera que tuviera un navegador y supiera dónde buscar. Los dos no son nuevos en este tipo de cosas. De hecho, Bob Diachenko, en particular, es responsable de la divulgación de bastantes filtraciones similares. Sin embargo, incluso él estaba bastante sorprendido por el tamaño de los datos expuestos en este caso particular.

La base de datos pesaba la friolera de 4TB, y tenía una enorme cuenta de 4 mil millones. Hubo bastantes duplicados, pero incluso después de eliminarlos, los investigadores observaron los registros personales de más de 1.200 millones de personas. Los índices en la base de datos no eran uniformes, y los datos expuestos variaban de un registro a otro. Después de procesar la información, los expertos descubrieron que el servidor abierto Elasticsearch contenía, entre otras cosas:

  • Más de mil millones de direcciones de correo electrónico personales.
  • Más de 400 millones de números telefónicos.
  • Más de 420 millones de URL de LinkedIn.
  • Más de mil millones de URL de Facebook e ID de cuenta, así como otros datos relacionados con la presencia de los usuarios en las redes sociales.

La base de datos no contenía detalles de tarjetas de crédito, números de seguridad social o contraseñas, pero las personas afectadas aún deben estar atentas a cualquier signo de robo de identidad y fraude. Diachenko y Troia compartieron los datos filtrados con Troy Hunt, quien los cargó en el servicio de alerta de violación de datos Have I Been Pwned, lo que significa que puede ir allí y verificar si la fuga lo ha afectado o no.

No es necesario decir que, tan pronto como descubrieron la información, los investigadores de seguridad tomaron las medidas necesarias para desconectarla. El FBI fue informado, pero antes de que las agencias de aplicación de la ley pudieran tomar medidas, la base de datos fue eliminada, presumiblemente por su propietario. Es imposible decir cuándo aparecieron los datos en el servidor Elasticsearch por primera vez y quién accedió a ellos mientras estaba expuesto.

¿A quién culpar?

Cada uno de los registros en una base de datos tenía un campo etiquetado como "fuente", y el valor en él era "PDL" u "Oxy". "PDL" significa People Data Labs, y "Oxy" proviene de Oxydata. People Data Labs y Oxydata son las dos compañías de enriquecimiento de datos que recopilaron todos estos registros.

El negocio de una empresa de enriquecimiento de datos gira en torno a la recopilación de la mayor cantidad de información públicamente disponible sobre usted y la creación de un perfil detallado basado en lo que encuentra. Este perfil, junto con millones de otros, se vende a cualquiera que esté dispuesto a pagar una tarifa predeterminada. People Data Labs y Oxydata sí recopilaron la información. Sin embargo, esto no significa que lo hayan filtrado.

Después de descubrir la fuga, Vinny Troia compartió sus hallazgos con Lily Hay Newman de Wired, quien informó sobre la exposición y contactó a People Data Labs y Oxydata para preguntarles qué piensan al respecto. Las dos compañías admitieron que podrían ser la fuente principal de la información que se puso en la base de datos, pero ambas insistieron en que no habían sufrido una violación de datos.

Con toda probabilidad, un cliente de People Data Labs y Oxydata pagó por toda esta información, la colocó en una sola base de datos y la dejó en el servidor Elasticsearch mal configurado. Martynas Simanauskas, un representante de Oxydata, dijo a Wired que su compañía tiene acuerdos con sus clientes diseñados para garantizar que los datos se procesen de forma segura. Incluso admitió, sin embargo, que una vez que el cliente tiene la información, las opciones para prevenir el mal uso son más o menos inexistentes.

Este fue el principal tema de conversación en la publicación de blog de Troy Hunt dedicada a la exposición. El hecho desafortunado del asunto es que las compañías de enriquecimiento de datos como People Data Labs y Oxydata continuarán recolectando nuestra información personal desde donde puedan encontrarla. También continuarán vendiéndolo, y las personas y organizaciones que lo pagan inevitablemente lo dejarán expuesto de vez en cuando. Independientemente de si nos gusta o no, nuestros datos se recopilan, organizan y copian muchas veces, y son seguros para desconectar el cable de Ethernet y vivir como si fuera 1960 nuevamente, no hay más o menos nada que podamos hacer al respecto. Teniendo en cuenta todo esto, el hecho de que esta fuga en particular no ocurriera antes es realmente sorprendente.

November 27, 2019

Deja una respuesta

¡IMPORTANTE! Para poder continuar, debe resolver las siguientes matemáticas simples.
Please leave these two fields as is:
¿Qué es 4 + 2?