Na niezabezpieczonym serwerze znaleziono 1,2 miliarda prywatnych danych

1.2 billion people affected by a data leak

Ci z was, którzy aktywnie interesują się cyberbezpieczeństwem, nie będą zaskoczeni, gdy dowiedzą się, że naukowcy ujawnili odkrycie kolejnego szeroko otwartego serwera, który przechowywał ogromne ilości danych osobowych. Tym razem skala wycieku jest całkowicie zadziwiająca, ale jeszcze bardziej rozczarowujący jest fakt, że kiedy dowiesz się, co dokładnie się stało, zobaczysz, jak nieuniknione było to zdarzenie.

Naukowcy odkryli 4 TB danych osobowych na niezabezpieczonym serwerze Elasticsearch

16 października Vinny Troia i Bob Diachenko natknęli się na serwer Elasticsearch, który nie był chroniony hasłem i był dostępny dla każdego, kto miał przeglądarkę i wiedział, gdzie szukać. Te dwie rzeczy nie są nowe w tego rodzaju sprawach. W szczególności Bob Diachenko jest odpowiedzialny za ujawnienie kilku podobnych przecieków. Jednak nawet on był raczej zszokowany rozmiarem ujawnionych danych w tym konkretnym przypadku.

Baza danych ważyła 4 TB i dysponowała ogromnymi 4 miliardami kont. Było sporo duplikatów, ale nawet po ich usunięciu badacze przyglądali się osobistej dokumentacji ponad 1,2 miliarda osób. Indeksy w bazie danych nie były jednolite, a eksponowane dane różniły się w zależności od rekordu. Po przetworzeniu informacji eksperci odkryli, że otwarty serwer Elasticsearch przechowywał między innymi:

  • Ponad 1 miliard osobistych adresów e-mail.
  • Ponad 400 milionów numerów telefonów.
  • Ponad 420 milionów adresów URL LinkedIn.
  • Ponad 1 miliard adresów URL na Facebooku i identyfikatorów kont, a także inne dane związane z obecnością użytkowników w mediach społecznościowych.

Baza danych nie zawierała żadnych danych karty kredytowej, numerów ubezpieczenia społecznego ani haseł, ale osoby, których to dotyczy, powinny nadal poszukiwać oznak kradzieży tożsamości i oszustw. Diachenko i Troia udostępnili wyciek danych Troyowi Huntowi, który załadował je do usługi powiadamiania o naruszeniu danych w aplikacji Have I Been Pwned, co oznacza, że możesz tam pójść i sprawdzić, czy wyciek miał na ciebie wpływ.

Nie trzeba dodawać, że gdy tylko odkryli informacje, badacze bezpieczeństwa podjęli niezbędne kroki, aby przenieść je do trybu offline. FBI zostało poinformowane, ale zanim organy ścigania mogły podjąć działania, baza danych została usunięta, prawdopodobnie przez właściciela. Nie można powiedzieć, kiedy dane pojawiły się na serwerze Elasticsearch po raz pierwszy i kto uzyskał do nich dostęp, gdy były one ujawnione.

Kogo winić?

Każdy z rekordów w bazie danych miał pole oznaczone jako „źródło”, a jego wartość to „PDL” lub „Oxy”. „PDL” oznacza People Data Labs, a „Oxy” pochodzi od Oxydata. People Data Labs i Oxydata to dwie firmy zajmujące się wzbogacaniem danych, które zgromadziły wszystkie te rekordy.

Działalność firmy zajmującej się wzbogacaniem danych polega na gromadzeniu jak największej ilości publicznie dostępnych informacji o Tobie i tworzeniu szczegółowego profilu na podstawie tego, co znajdzie. Profil ten, wraz z milionami innych, jest następnie sprzedawany każdemu, kto chce zapłacić z góry określoną opłatę. People Data Labs i Oxydata rzeczywiście zebrali informacje. Nie oznacza to jednak, że wyciekły.

Po odkryciu wycieku Vinny Troia podzielił się swoimi odkryciami z Wily's Lily Hay Newman, która zgłosiła ujawnienie i skontaktowała się z People Data Labs i Oxydata, aby zapytać ich, co o tym sądzą. Obie firmy przyznały, że mogą być ostatecznym źródłem informacji umieszczonych w bazie danych, ale obie nalegały, aby nie doszło do naruszenia danych.

Najprawdopodobniej klient People Data Labs i Oxydata zapłacił za wszystkie te informacje, umieścił je w jednej bazie danych i pozostawił na źle skonfigurowanym serwerze Elasticsearch. Martynas Simanauskas, przedstawiciel Oxydata, powiedział Wiredowi, że jego firma ma umowy z klientami mające na celu zapewnienie bezpieczeństwa przetwarzania danych. Nawet on przyznał jednak, że gdy klient uzyska informacje, opcje zapobiegania niewłaściwemu użyciu są mniej lub bardziej nieobecne.

To był główny punkt rozmowy w blogu Troy Hunt poświęconym ujawnieniu. Niestety, firmy zajmujące się wzbogacaniem danych, takie jak People Data Labs i Oxydata, będą nadal zbierać nasze dane osobowe z dowolnego miejsca, w którym je znajdą. Będą również nadal go sprzedawać, a ludzie i organizacje, które za to płacą, nieuchronnie narażają go od czasu do czasu. Niezależnie od tego, czy nam się to podoba, czy nie, nasze dane są gromadzone, organizowane i kopiowane wiele razy i są bezpieczne dla odłączenia kabla Ethernet i życia tak, jakby to był rok 1960, nic więcej nie możemy na to poradzić. Biorąc to wszystko pod uwagę, fakt, że ten konkretny wyciek nie nastąpił wcześniej, jest w rzeczywistości dość zaskakujący.

November 27, 2019

Zostaw odpowiedź

WAŻNY! Aby móc kontynuować, musisz rozwiązać następującą prostą matematykę.
Please leave these two fields as is:
Co to jest 9 + 3?