1,2 miljard privégegevensrecords zijn gevonden op een onbeveiligde server

1.2 billion people affected by a data leak

Degenen onder u met een actieve interesse in cybersecurity zullen niet verbaasd zijn om te ontdekken dat onderzoekers de ontdekking hebben onthuld van nog een andere wijd open server die een enorme hoeveelheid persoonlijke informatie bevatte. Deze keer is de omvang van het lek absoluut verbijsterend, maar wat zelfs nog teleurstellender is, is het feit dat wanneer je leert wat er precies is gebeurd, je zult zien hoe onvermijdelijk dit incident was.

Onderzoekers ontdekken 4 TB persoonlijke informatie op een onbeveiligde Elasticsearch-server

Op 16 oktober stuitten Vinny Troia en Bob Diachenko op een Elasticsearch-server die niet was beveiligd met een wachtwoord en toegankelijk was voor iedereen die een browser had en wist waar hij moest zoeken. De twee zijn niet nieuw voor dit soort dingen. Vooral Bob Diachenko is verantwoordelijk voor het vrijgeven van een aantal soortgelijke lekken. Maar zelfs hij was nogal geschokt door de omvang van de blootgestelde gegevens in dit specifieke geval.

De database woog maar liefst 4 TB en had een enorme 4 miljard accounts. Er waren nogal wat duplicaten, maar zelfs nadat ze waren verwijderd, keken de onderzoekers naar de persoonlijke gegevens van meer dan 1,2 miljard personen. De indexen in de database waren niet uniform en de blootgestelde gegevens varieerden van record tot record. Na het verwerken van de informatie kwamen de experts erachter dat de open Elasticsearch-server onder meer het volgende hield:

  • Meer dan 1 miljard persoonlijke e-mailadressen.
  • Meer dan 400 miljoen telefoonnummers.
  • Meer dan 420 miljoen LinkedIn-URL's.
  • Meer dan 1 miljard Facebook-URL's en account-ID's, evenals andere gegevens met betrekking tot de aanwezigheid van gebruikers op sociale media.

De database bevatte geen creditcardgegevens, burgerservicenummers of wachtwoorden, maar getroffen personen moeten nog steeds uitkijken naar tekenen van identiteitsdiefstal en fraude. Diachenko en Troia deelden de gelekte gegevens met Troy Hunt, die ze in de Have I Been Pwned-datalek- waarschuwingsservice laadde, wat betekent dat u daar naartoe kunt gaan en kunt controleren of u al dan niet bent getroffen door het lek.

Onnodig te zeggen dat de beveiligingsonderzoekers, zodra ze de informatie hadden ontdekt, de nodige stappen hadden gezet om deze offline te brengen. De FBI werd op de hoogte gebracht, maar voordat de wetshandhavingsinstanties actie konden ondernemen, werd de database vernietigd, vermoedelijk door de eigenaar. Het is onmogelijk om te zeggen wanneer de gegevens voor het eerst op de Elasticsearch-server zijn verschenen en wie er toegang toe heeft gehad terwijl deze werden blootgesteld.

Wie is de schuldige?

Alle records in een database hadden een veld met het label "source" en de waarde daarin was "PDL" of "Oxy". "PDL" staat voor People Data Labs en "Oxy" komt van Oxydata. People Data Labs en Oxydata zijn de twee dataverrijkingsbedrijven die al deze records hebben verzameld.

Het bedrijf van een dataverrijkingsbedrijf draait om het verzamelen van zoveel mogelijk openbaar beschikbare informatie over u en het creëren van een gedetailleerd profiel op basis van wat het vindt. Dit profiel, samen met miljoenen anderen, wordt vervolgens verkocht aan iedereen die een vooraf bepaalde vergoeding wil betalen. People Data Labs en Oxydata hebben inderdaad de informatie verzameld. Dit betekent echter niet dat ze het hebben gelekt.

Nadat hij het lek had ontdekt, deelde Vinny Troia zijn bevindingen met Lily Hay Newman van Wired, die de blootstelling meldde en contact opnam met People Data Labs en Oxydata om hen te vragen wat zij ervan vonden. De twee bedrijven gaven toe dat ze misschien de ultieme bron waren van de informatie die in de database werd geplaatst, maar ze stonden er allebei op dat ze niet hadden geleden aan een datalek.

Naar alle waarschijnlijkheid heeft een klant van People Data Labs en Oxydata voor al deze informatie betaald, deze in een enkele database gestopt en op de verkeerd geconfigureerde Elasticsearch-server achtergelaten. Martynas Simanauskas, een vertegenwoordiger van Oxydata, vertelde Wired dat zijn bedrijf overeenkomsten heeft met zijn klanten om ervoor te zorgen dat de gegevens veilig worden verwerkt. Zelfs gaf hij echter toe dat zodra de cliënt de informatie heeft, de opties om misbruik te voorkomen min of meer onbestaande zijn.

Dit was het belangrijkste gespreksonderwerp in de blogpost van Troy Hunt gewijd aan de exposure. Het ongelukkige feit is dat bedrijven voor gegevensverrijking zoals People Data Labs en Oxydata onze persoonlijke informatie blijven schrapen waar ze deze kunnen vinden. Ze zullen het ook blijven verkopen, en de mensen en organisaties die ervoor betalen, zullen het onvermijdelijk zo nu en dan blootgeven. Ongeacht of we het leuk vinden of niet, onze gegevens worden vaak verzameld, georganiseerd en gekopieerd, en veilig voor het loskoppelen van de ethernet-kabel en leven alsof het weer 1960 is, we kunnen er vrijwel niets aan doen. Dit alles in overweging nemend, is het feit dat dit specifieke lek niet eerder is gebeurd eigenlijk vrij verrassend.

November 27, 2019

Laat een antwoord achter

BELANGRIJK! Om verder te kunnen gaan, moet je de volgende eenvoudige wiskunde oplossen.
Please leave these two fields as is:
Wat is 3 + 5?