Ancora un'altra società non è riuscita a proteggere il proprio database e sono stati esposti 198 milioni di acquirenti di auto

198 Million Car Buyers Exposed

Troppo spesso, il costo elevato è indicato come il motivo principale per cui non è stato possibile proteggere i dati personali delle persone. Quando le organizzazioni subiscono un attacco informatico, tendono a dire che avrebbero usato gli strumenti giusti e avrebbero assunto le persone giuste se non fosse stato così costoso.

In molte occasioni, tuttavia, le aziende non devono spendere milioni per proteggere le informazioni delle persone. Spesso, è sufficiente evitare alcuni degli errori più elementari. Un recente incidente sulla sicurezza dei dati che coinvolge una rete di siti Web di proprietà di DealerLeads lo conferma.

Quasi 200 milioni di acquirenti di auto hanno i loro dati esposti

Ad agosto, Jeremiah Fowler di SecurityDiscovery.com ha scoperto un database contenente nomi, e-mail, numeri di telefono, indirizzi fisici e IP e altre informazioni identificabili di ben 198 milioni di persone. Inizialmente, ha faticato a scoprire chi possedeva il set di dati da 413 GB, ma dopo alcune indagini, si è reso conto che apparteneva a DealerLeads. I primi rapporti via e-mail rimasero senza risposta, ma una volta sollevato il telefono, la società entrò in azione e prese le precauzioni necessarie per proteggere i dati.

Ma come hanno fatto DealerLeads a raccogliere tutte queste informazioni? E come sono stati esposti i dati?

Il modello di business di DealerLeads ruota attorno all'acquisto e alla vendita di auto nuove e vecchie. Tuttavia, la società non commercializza automobili. Invece, ha una rete di siti Web ben SEO che attirano un gran numero di acquirenti di auto e li reindirizza ai rivenditori che pagano per il traffico extra e i clienti.

Le informazioni che Jeremiah Fowler trovò furono apparentemente raccolte mentre i potenziali acquirenti di auto erano ancora sui siti web di DealerLeads. È difficile dire quanto gli utenti siano stati ben informati della raccolta dei dati, ed è anche poco chiaro cosa DealerLead volesse fare con esso. Qualunque sia lo scopo del database, tuttavia, non è stato protetto come avrebbe dovuto essere.

Un'altra violazione dei dati causata da un errore di configurazione di base

Sfortunatamente, stiamo di nuovo parlando di un enorme database pieno di tonnellate di informazioni sensibili che erano accessibili a chiunque avesse un browser. Ancora una volta, era un server ElasticSearch esposto a Internet e, ancora una volta, non era protetto da password.

E 'l'ultimo di una molto lunga linea di enormi incidenti di esposizione dei dati che non è accaduto perché i criminali informatici erano troppo intelligenti o sofisticati, ma perché le aziende responsabili della protezione delle informazioni delle persone non ha fatto quello che dovevano fare.

Non stiamo parlando di costose soluzioni di sicurezza. Stiamo parlando della mancanza di una comprensione fondamentale degli strumenti disponibili e dei loro meccanismi di protezione. È l'equivalente di mettere tutti i tuoi dati sensibili in uno smartphone e di lasciare il dispositivo incustodito e sbloccato in un luogo pubblico. La differenza è che nel caso di DealerLead sono stati colpiti quasi 200 milioni di persone. Quanto dovrebbero essere preoccupati questi 200 milioni di persone?

I dati divulgati potrebbero essere stati accessibili dai criminali informatici

Il database è stato portato offline il 20 agosto, poco dopo che Jeremiah Fowler lo aveva segnalato. Nessuno dice per quanto tempo è stato esposto, e sebbene sia difficile dire se Fowler è stato il primo a scoprirlo, lo stesso ricercatore ha ammesso di averlo visto "diverse volte" prima del suo rapporto. In altre parole, non sarà troppo sorprendente se si scopre che i dati sono già caduti in mani sbagliate, il che rende la riluttanza di DealerLeads a rilasciare una dichiarazione pubblica ancora più strana.

Non c'è nulla di ufficiale al momento, ed è difficile dire se il business SEO contatta gli utenti interessati individualmente. In ogni caso, l'incidente non dovrebbe essere sottovalutato.

Ci sono abbastanza informazioni identificabili per causare molti danni nel mondo reale e la presenza di indirizzi IP e altri dati nell'installazione errata di ElasticSearch apre le porte al crimine anche in quello digitale. Se ritieni che i tuoi dati potrebbero essere stati esposti, dovresti essere ancora più attento del solito.

September 17, 2019
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.