1,2 miliardi di record di dati privati sono stati trovati su un server non protetto

1.2 billion people affected by a data leak

Quelli di voi con un interesse attivo per la sicurezza informatica non saranno troppo sorpresi di scoprire che i ricercatori hanno rivelato la scoperta di un altro server completamente aperto che conteneva una quantità enorme di informazioni personali. Questa volta, la portata della perdita è assolutamente sbalorditiva, ma ciò che è ancora più deludente di questo è il fatto che quando apprendi cosa è successo esattamente, vedrai quanto sia inevitabile questo incidente.

I ricercatori scoprono 4 TB di informazioni personali su un server Elasticsearch non protetto

Il 16 ottobre, Vinny Troia e Bob Diachenko si sono imbattuti in un server Elasticsearch che non era protetto da una password ed era accessibile a chiunque avesse un browser e sapesse dove cercare. I due non sono nuovi a questo genere di cose. In effetti, Bob Diachenko, in particolare, è responsabile della divulgazione di alcune perdite simili. Anche se era piuttosto scioccato dalla dimensione dei dati esposti in questo caso particolare, però.

Il database pesava ben 4 TB e conteneva ben 4 miliardi di account. C'erano parecchi duplicati, ma anche dopo averli rimossi, i ricercatori stavano esaminando i dati personali di oltre 1,2 miliardi di persone. Gli indici nel database non erano uniformi e i dati esposti variavano da un record all'altro. Dopo aver elaborato le informazioni, gli esperti hanno scoperto che il server Elasticsearch aperto conteneva, tra le altre cose:

  • Più di 1 miliardo di indirizzi e-mail personali.
  • Più di 400 milioni di numeri di telefono.
  • Più di 420 milioni di URL di LinkedIn.
  • Oltre 1 miliardo di URL di Facebook e ID account, nonché altri dati relativi alla presenza sui social media degli utenti.

Il database non conteneva dettagli sulla carta di credito, numeri di previdenza sociale o password, ma le persone interessate dovrebbero essere sempre alla ricerca di segni di furto di identità e frode. Diachenko e Troia hanno condiviso i dati trapelati con Troy Hunt, che li ha caricati nel servizio di avviso di violazione dei dati di Have I Been Pwned, il che significa che puoi andare lì e verificare se sei stato o meno interessato dalla perdita.

Inutile dire che, non appena hanno scoperto le informazioni, i ricercatori della sicurezza hanno preso le misure necessarie per metterle offline. L'FBI fu informato, ma prima che le forze dell'ordine potessero agire, la banca dati fu abbattuta, presumibilmente dal suo proprietario. È impossibile dire quando i dati sono apparsi per la prima volta sul server Elasticsearch e chi ha effettuato l'accesso mentre era esposto.

Di chi è la colpa?

Ciascuno dei record in un database aveva un campo etichettato "source" e il valore era "PDL" o "Oxy". "PDL" sta per People Data Labs e "Oxy" deriva da Oxydata. People Data Labs e Oxydata sono le due società di arricchimento dei dati che hanno raccolto tutti questi record.

L'attività di un'azienda di arricchimento dei dati ruota attorno alla raccolta di quante più informazioni pubblicamente disponibili su di te e alla creazione di un profilo dettagliato basato su ciò che trova. Questo profilo, insieme a milioni di altri, viene quindi venduto a chiunque sia disposto a pagare una tariffa predeterminata. People Data Labs e Oxydata hanno effettivamente raccolto le informazioni. Questo non significa che lo abbiano fatto trapelare, comunque.

Dopo aver scoperto la perdita, Vinny Troia ha condiviso le sue scoperte con Lily Hay Newman di Wired, che ha riferito dell'esposizione e ha contattato People Data Labs e Oxydata per chiedere loro cosa ne pensano. Le due società hanno ammesso che potrebbero essere la fonte finale delle informazioni contenute nel database, ma hanno entrambi insistito sul fatto di non aver subito una violazione dei dati.

Con ogni probabilità, un cliente di People Data Labs e Oxydata ha pagato tutte queste informazioni, le ha messe in un unico database e le ha lasciate sul server Elasticsearch non configurato correttamente. Martynas Simanauskas, un rappresentante di Oxydata, ha dichiarato a Wired che la sua azienda ha accordi con i suoi clienti progettati per garantire che i dati vengano elaborati in modo sicuro. Anche ha ammesso, tuttavia, che una volta che il cliente ha le informazioni, le opzioni per prevenire l'uso improprio sono più o meno inesistenti.

Questo è stato il principale punto di discussione nel post sul blog di Troy Hunt dedicato all'esposizione. Il fatto spiacevole della questione è che le società di arricchimento dei dati come People Data Labs e Oxydata continueranno a raccogliere le nostre informazioni personali da qualunque luogo possano trovarle. Continueranno anche a venderlo e le persone e le organizzazioni che lo pagano lo lasceranno inevitabilmente esposto di tanto in tanto. Indipendentemente dal fatto che ci piaccia o no, i nostri dati vengono raccolti, organizzati e copiati molte volte e sicuri per scollegare il cavo Ethernet e vivere come se fosse di nuovo il 1960, non c'è più o meno nulla che possiamo fare al riguardo. Considerando tutto ciò, il fatto che questa particolare perdita non si sia verificata prima è in realtà abbastanza sorprendente.

November 27, 2019

Lascia un Commento

IMPORTANTE! Per poter procedere, è necessario risolvere la seguente semplice matematica.
Please leave these two fields as is:
Che cos'è 5 + 4?