1,2 milliárd magán adatrekordot találtak nem biztonságos szerveren

1.2 billion people affected by a data leak

Azok, akik aktívan érdeklődnek a kiberbiztonság iránt, nem fogják meglepni, hogy rájönnek, hogy a kutatók még egy szélesen nyitott szervert fedeztek fel, amely hatalmas mennyiségű személyes információt tartalmaz. Ezúttal a szivárgás mértéke teljesen elképesztő, de még ennél is csalódóbb az a tény, hogy amikor megtanulja, hogy mi történt pontosan, látni fogja, milyen elkerülhetetlen volt ez az eset.

A kutatók 4 TB-os személyes információt fedeznek fel egy nem biztonságos Elasticsearch-kiszolgálón

Vinny Troia és Bob Diachenko október 16-án megbotlott egy Elasticsearch szervernél, amelyet nem védett jelszóval, és bárki számára elérhető, aki böngészővel rendelkezik és tudta, hol kell keresni. A kettő nem új ilyen típusú dolgokban. Valójában elsősorban Bob Diachenko felelős sok hasonló szivárgás nyilvánosságra hozataláért. De még ebben az esetben is megdöbbentette a feltárt adatok mérete.

Az adatbázis óriási 4 TB volt, és hatalmas, 4 milliárd számlát tartott. Nagyon kevés másolat volt, de még a eltávolításuk után a kutatók több mint 1,2 milliárd személy személyes nyilvántartását is megtekintették. Az adatbázisban szereplő indexek nem voltak egységesek, és a feltárt adatok rekordonként változtak. Az információk feldolgozása után a szakértők rájöttek, hogy a nyitott Elasticsearch szerver többek között a következőket tartja:

  • Több mint 1 milliárd személyes e-mail cím.
  • Több mint 400 millió telefonszám.
  • Több mint 420 millió LinkedIn URL.
  • Több mint egymilliárd Facebook URL és számla-azonosító, valamint egyéb adat a felhasználók közösségi média jelenlétével kapcsolatban.

Az adatbázis nem tartalmazott hitelkártya-adatokat, társadalombiztosítási számokat vagy jelszavakat, de az érintett személyeknek továbbra is figyelniük kell a személyazonosság-lopás és -csalás jeleire. Diachenko és Troia megosztották a kiszivárgott adatokat Troy Hunt-lal, aki betöltötte az „Have I Been Pwned” adat-megsértési riasztási szolgáltatásba, ami azt jelenti, hogy oda tud menni, és ellenőrizheti, hogy a szivárgás érintette-e vagy sem.

Mondanom sem kell, hogy amint felfedezték az információt, a biztonsági kutatók megtették a szükséges lépéseket annak offline elérhetőségére. Az FBI-t tájékoztatták, de mielőtt a bűnüldöző szervek meg tudták lépni, az adatbázist valószínűleg a tulajdonos tette le. Nem lehet megmondani, hogy az adatok mikor jelentek meg először az Elasticsearch szerveren, és ki volt hozzáférve azokhoz, amíg azok ki vannak téve.

Ki a hibás?

Az adatbázis minden egyes rekordjának volt egy "forrás" feliratú mezője, és az érték "PDL" vagy "Oxy" volt. A "PDL" a People Data Labs-t jelenti, az "Oxy" az Oxydata-tól származik. A People Data Labs és az Oxydata az a két adatgazdagító vállalat, amely ezeket a nyilvántartásokat összegyűjtötte.

Az adatgazdagító társaság üzleti tevékenysége arra irányul, hogy a lehető legtöbb nyilvánosan elérhető információt gyűjtsön rólad, és egy részletes profilt hozzon létre az alapján, amit talál. Ezt a profilt, valamint milliókat másoknak eladják mindenki, aki hajlandó fizetni egy előre meghatározott díjat. A People Data Labs és az Oxydata valóban összegyűjtötte az információkat. Ez azonban nem azt jelenti, hogy kiszivárogtak.

A szivárgás felfedezése után Vinny Troia megosztotta megállapításait a Wired's Lily Hay Newmannel, aki beszámolt az expozícióról, és felvette a kapcsolatot a People Data Labs és az Oxydata adatokkal, hogy megkérdezzék, mit gondolnak róla. A két társaság elismerte, hogy valószínűleg az adatbázisba helyezett információk végső forrása, ám mindketten ragaszkodtak ahhoz, hogy nem szenvedtek adatmegsértést.

Minden valószínűség szerint a People Data Labs és az Oxydata ügyfele megfizette az összes információt, egyetlen adatbázisba helyezte, és a tévesen konfigurált Elasticsearch szerverre hagyta. Martynas Simanauskas, az Oxydata képviselője elmondta a Wired-nek, hogy cégének az ügyfelekkel kötött megállapodások vannak az adatok biztonságos feldolgozása érdekében. Még azt is beismerte, hogy amint az ügyfél rendelkezik információkkal, a visszaélések megakadályozásának lehetőségei többé-kevésbé léteznek.

Ez volt a fő beszélgetési pont Troy Hunt blogbejegyzésében, amely az expozícióval foglalkozott. A helyzet sajnálatos ténye az, hogy az olyan adatgazdagító cégek, mint a People Data Labs és az Oxydata, továbbra is megkaparják személyes adatainkat, bárhová megtalálják. Továbbra is eladják, és az emberek és szervezetek, akik fizetnek érte, elkerülhetetlenül hagyják, hogy időről időre ki legyen téve. Függetlenül attól, hogy tetszik-e vagy sem, adatait sokszor gyűjtjük, rendezzük és másoljuk, és biztonságosak az Ethernet-kábel kihúzásához, és úgy élhetünk, mintha 1960-as évek lenne, többé-kevésbé semmit sem tehetünk. Mindezt figyelembe véve nagyon meglepő az a tény, hogy ez a szivárgás nem történt meg korábban.

November 27, 2019

Válaszolj

FONTOS! A folytatáshoz meg kell oldania a következő egyszerű matematikát.
Please leave these two fields as is:
Mi az 9 + 4?