1.2 Milliarder private dataoppføringer er funnet på en usikret server

1.2 billion people affected by a data leak

De av dere som har en aktiv interesse for cybersikkerhet, vil ikke bli for overrasket over å finne ut at forskere har avslørt oppdagelsen av nok en vidåpen server som inneholdt en enorm mengde personlig informasjon. Denne gangen er omfanget av lekkasjen helt overveldende, men det som er enda mer skuffende enn det er det faktum at når du får vite hva som skjedde nøyaktig, vil du se hvor uunngåelig denne hendelsen var.

Forskere oppdager 4 TB personlig informasjon på en usikker Elasticsearch-server

16. oktober snublet Vinny Troia og Bob Diachenko over en Elasticsearch-server som ikke var beskyttet av et passord og var tilgjengelig for alle som hadde en nettleser og visste hvor de skulle se. De to er ikke nye i denne typen ting. Faktisk er spesielt Bob Diachenko ansvarlig for avsløringen av ganske mange lignende lekkasjer. Selv han var ganske sjokkert over størrelsen på de utsatte dataene i akkurat dette tilfellet.

Databasen veide inn til en enorm 4TB, og den inneholdt enorme 4 milliarder kontoer. Det var ganske mange duplikater, men selv etter å ha fjernet dem, så forskerne på de personlige postene til over 1,2 milliarder individer. Indeksene i databasen var ikke ensartede, og de eksponerte dataene varierte fra post til post. Etter behandling av informasjonen fant ekspertene ut at den åpne Elasticsearch-serveren inneholdt blant annet:

  • Mer enn 1 milliard personlige e-postadresser.
  • Mer enn 400 millioner telefonnummer.
  • Mer enn 420 millioner LinkedIn-nettadresser.
  • Mer enn 1 milliard Facebook-nettadresser og konto-IDer samt andre data relatert til brukernes tilstedeværelse på sosiale medier.

Databasen inneholdt ingen kredittkortdetaljer, personnummer eller passord, men berørte personer bør fortsatt være på utkikk etter tegn til identitetstyveri og svindel. Diachenko og Troia delte de lekkede dataene med Troy Hunt, som lastet dem inn i varslingstjenesten Have I Been Pwned om dataovertredelse, noe som betyr at du kan gå dit og sjekke om du har blitt påvirket av lekkasjen eller ikke.

Unødvendig å si, så snart de oppdaget informasjonen, tok sikkerhetsforskerne de nødvendige skritt for å bringe den offline. FBI ble informert, men før de rettshåndhevende myndighetene kunne iverksette tiltak, ble databasen ført ned, antagelig av eieren. Det er umulig å si når dataene ble vist på Elasticsearch-serveren for første gang og hvem som fikk tilgang til dem mens de ble eksponert.

Hvem har skylden?

Hver enkelt av postene i en database hadde et felt merket "kilde", og verdien i den var enten "PDL" eller "Oxy". "PDL" står for People Data Labs, og "Oxy" kommer fra Oxydata. People Data Labs og Oxydata er de to dataanrikningsbedriftene som samlet alle disse postene.

Virksomheten til et dataanrikningsfirma dreier seg om å samle så mye offentlig tilgjengelig informasjon om deg som mulig og lage en detaljert profil basert på hva den finner. Denne profilen, sammen med millioner av andre, blir deretter solgt til alle som er villige til å betale en forhåndsbestemt avgift. People Data Labs og Oxydata samlet faktisk informasjonen. Dette betyr ikke at de lekket den.

Etter å ha oppdaget lekkasjen, delte Vinny Troia sine funn med Wired's Lily Hay Newman, som rapporterte eksponeringen og kontaktet People Data Labs og Oxydata for å spørre dem hva de synes om det. De to selskapene innrømmet at de kan være den ultimate kilden til informasjonen som ble lagt inn i databasen, men de insisterte begge på at de ikke hadde fått et datainnbrudd.

Etter all sannsynlighet betalte en kunde av People Data Labs og Oxydata for all denne informasjonen, la den i en enkelt database og la den ligge på den feilkonfigurerte Elasticsearch-serveren. Martynas Simanauskas, en representant fra Oxydata, fortalte Wired at selskapet hans har avtaler med kundene sine for å sikre at dataene blir behandlet på en sikker måte. Selv han innrømmet imidlertid at når klienten har informasjonen, er alternativene for å forhindre misbruk mer eller mindre ikke-eksisterende.

Dette var det viktigste snakkepunktet i Troy Hunts blogginnlegg dedikert til eksponeringen. Det uheldige faktum er at databehandlingsbedrifter som People Data Labs og Oxydata vil fortsette å skrape personopplysningene våre hvor enn de kan finne dem. De vil også fortsette å selge det, og menneskene og organisasjonene som betaler for det vil uunngåelig la det være utsatt nå og da. Uansett om vi liker det eller ikke, blir dataene våre samlet inn, organisert og kopiert mange ganger, og trygge for å trekke ut Ethernet-kabelen og leve som om det er 1960 igjen, det er mer eller mindre ingenting vi kan gjøre med det. Tatt i betraktning alt dette, er det faktum at denne spesielle lekkasjen ikke skjedde tidligere ganske overraskende.

November 27, 2019

Legg igjen et svar

VIKTIG! For å kunne gå videre, må du løse følgende enkle matematikk.
Please leave these two fields as is:
Hva er 7 + 7?