保護されていないサーバーで12億のプライベートデータレコードが見つかりました
サイバーセキュリティに積極的な関心をお持ちの方は、研究者が膨大な量の個人情報を保持するさらに別の広く開かれたサーバーの発見を開示していることを知るのにそれほど驚かないでしょう。今回、リークの規模は非常に驚異的ですが、それよりもさらに残念なのは、何が起こったのかを正確に知ると、このインシデントがいかに避けられないかがわかるという事実です。
研究者は、セキュリティ保護されていないElasticsearchサーバーで4TBの個人情報を発見します
10月16日、ヴィニートロイアとボブディアチェンコは 、パスワードで保護されておらず、ブラウザを持ち、どこを見るべきかを知っている人なら誰でもアクセスできるElasticsearchサーバーに出会いました 。この2つはこの種のものにとって目新しいものではありません。実際、特にボブ・ディアチェンコは、かなりの数の同様のリークの開示を担当しています。ただし、この特定のインスタンスで公開されたデータのサイズにはかなりショックを受けました。
データベースはなんと4TBの重さで、40億のアカウントを大量に保有していました。かなりの数の重複がありましたが、それらを削除した後でも、研究者は12億人以上の個人の個人記録を見ていました。データベース内のインデックスは均一ではなく、公開されるデータはレコードごとに異なります。情報を処理した後、専門家は、オープンなElasticsearchサーバーが特に以下を保持していることを発見しました。
- 10億を超える個人用メールアドレス。
- 4億を超える電話番号。
- 4億2,000万を超えるLinkedIn URL。
- 10億を超えるFacebook URLとアカウントID、およびユーザーのソーシャルメディアの存在に関連するその他のデータ。
データベースにはクレジットカードの詳細、社会保障番号、パスワードは含まれていませんが、個人情報の盗難や詐欺の兆候を監視する必要があります。ディアチェンコとトロイアは、漏出したデータをトロイ・ハントと共有しました。トロイ・ハントは、それをHave I Been Pwnedデータ侵害警告サービスにロードしました。つまり、そこに行って、漏出の影響を受けているかどうかを確認できます
言うまでもなく、情報を発見するとすぐに、セキュリティ研究者は必要な措置を講じてオフラインにしました。 FBIに通知されましたが、法執行機関が行動を起こす前に、おそらくその所有者によってデータベースが停止されました。データがElasticsearchサーバーに初めて表示されたとき、およびデータが公開されている間に誰がアクセスしたかを言うことは不可能です。
誰が悪いのか?
データベース内のすべてのレコードには、「ソース」というラベルのフィールドがあり、その値は「PDL」または「Oxy」のいずれかでした。 「PDL」はPeople Data Labsを表し、「Oxy」はOxydataに由来します。 People Data LabsとOxydataは、これらすべてのレコードを収集した2つのデータ強化会社です。
データエンリッチメント会社のビジネスは、公開されているユーザーに関する可能な限り多くの情報を収集し、その情報に基づいて詳細なプロファイルを作成することを中心に展開しています。このプロファイルは、数百万人の他の人と一緒に、所定の料金を支払う意思のある人に販売されます。 People Data LabsとOxydataは確かに情報を収集しました。しかし、これは彼らがそれを漏らしたという意味ではありません。
漏れを発見した後、ヴィニー・トロイアは有線のリリーヘイ・ニューマン、と彼の調査結果を共有露出を報告し、彼らはそれをどう思うか、それらを依頼する人々データ研究所とOxydataに連絡しました。両社は、データベースに保存された情報の究極のソースである可能性があることを認めましたが、どちらもデータ侵害を受けていないと主張しました。
おそらく、People Data LabsとOxydataの顧客は、このすべての情報に対して支払いを行い、単一のデータベースに格納して、誤って構成されたElasticsearchサーバーに残しました。 Oxydataの代表であるMartynas Simanauskasは、データが安全に処理されるように設計されたクライアントとの契約を結んでいるとWiredに語りました。しかし、クライアントが情報を取得すると、誤用を防止するためのオプションは多かれ少なかれ存在しないことを彼は認めました。
これは、 トロイ・ハントの露出に関するブログ投稿の主要な論点でした。残念なことに、People Data LabsやOxydataのようなデータエンリッチメント企業は、個人情報をどこからでも入手できるようにしています。彼らはそれを販売し続けます、そして、それを支払う人々と組織は必然的にそれを時々露出させます。気に入ったかどうかに関係なく、データは何度も収集、整理、コピーされ、イーサネットケーブルを抜いて1960年のように生きても安全ですが、それについてできることはほとんどありません。このすべてを考慮すると、この特定のリークがすぐに発生しなかったという事実は、実際には非常に驚くべきことです。