1,2 bilhão de registros de dados privados foram encontrados em um servidor não seguro
Aqueles de vocês com interesse ativo em segurança cibernética não ficarão surpresos ao descobrir que os pesquisadores divulgaram a descoberta de outro servidor aberto que continha uma quantidade enorme de informações pessoais. Desta vez, a escala do vazamento é absolutamente incompreensível, mas o que é ainda mais decepcionante é o fato de que, quando você aprender o que aconteceu exatamente, verá o quão inevitável esse incidente foi.
Pesquisadores descobrem 4 TB de informações pessoais em um servidor Elasticsearch não seguro
Em 16 de outubro, Vinny Troia e Bob Diachenko encontraram um servidor Elasticsearch que não estava protegido por senha e estava acessível a qualquer pessoa que tivesse um navegador e sabia onde procurar. Os dois não são novos para esse tipo de coisa. De fato, Bob Diachenko, em particular, é responsável pela divulgação de alguns vazamentos semelhantes. Mesmo ele ficou bastante chocado com o tamanho dos dados expostos nesse caso em particular.
O banco de dados pesava 4TB e possuía enormes 4 bilhões de contas. Havia algumas duplicatas, mas mesmo depois de removê-las, os pesquisadores estavam analisando os registros pessoais de mais de 1,2 bilhão de indivíduos. Os índices no banco de dados não eram uniformes e os dados expostos variavam de registro para registro. Após o processamento das informações, os especialistas descobriram que o servidor Elasticsearch aberto mantinha, entre outras coisas:
- Mais de 1 bilhão de endereços de email pessoais.
- Mais de 400 milhões de números de telefone.
- Mais de 420 milhões de URLs do LinkedIn.
- Mais de 1 bilhão de URLs e IDs de conta no Facebook, além de outros dados relacionados à presença nas mídias sociais dos usuários.
O banco de dados não continha detalhes de cartão de crédito, números de seguridade social ou senhas, mas os indivíduos afetados ainda devem estar atentos a quaisquer sinais de roubo de identidade e fraude. Diachenko e Troia compartilharam os dados vazados com Troy Hunt, que os carregou no serviço de alerta de violação de dados Have I Been Pwned, o que significa que você pode ir até lá e verificar se foi ou não afetado pelo vazamento.
Escusado será dizer que, assim que descobriram as informações, os pesquisadores de segurança tomaram as medidas necessárias para colocá-las offline. O FBI foi informado, mas antes que as agências de aplicação da lei pudessem agir, o banco de dados foi desativado, presumivelmente por seu proprietário. É impossível dizer quando os dados apareceram no servidor Elasticsearch pela primeira vez e quem os acessou enquanto estavam expostos.
Quem é o culpado?
Cada um dos registros em um banco de dados tinha um campo chamado "origem", e o valor nele era "PDL" ou "Oxy". "PDL" significa People Data Labs e "Oxy" vem de Oxydata. People Data Labs e Oxydata são as duas empresas de enriquecimento de dados que coletaram todos esses registros.
O negócio de uma empresa de enriquecimento de dados gira em torno da coleta do máximo possível de informações publicamente disponíveis sobre você e da criação de um perfil detalhado com base no que encontra. Esse perfil, junto com milhões de outros, é vendido a qualquer pessoa disposta a pagar uma taxa predeterminada. O People Data Labs e o Oxydata realmente coletaram as informações. Isso não significa que eles vazaram, no entanto.
Depois de descobrir o vazamento, Vinny Troia compartilhou suas descobertas com Lily Hay Newman, da Wired, que relatou a exposição e entrou em contato com a People Data Labs e a Oxydata para perguntar o que eles acham disso. As duas empresas admitiram que poderiam ser a fonte definitiva das informações inseridas no banco de dados, mas ambas insistiram em não ter sofrido uma violação de dados.
Com toda a probabilidade, um cliente do People Data Labs e Oxydata pagou por todas essas informações, colocou-as em um único banco de dados e as deixou no servidor Elasticsearch configurado incorretamente. Martynas Simanauskas, representante da Oxydata, disse à Wired que sua empresa tem acordos com seus clientes projetados para garantir que os dados sejam processados com segurança. Mesmo ele admitiu, no entanto, que uma vez que o cliente tenha as informações, as opções para evitar o uso indevido são mais ou menos inexistentes.
Este foi o principal ponto de discussão no post de Troy Hunt no blog dedicado à exposição. O fato lamentável da questão é que empresas de enriquecimento de dados como a People Data Labs e a Oxydata continuarão raspando nossas informações pessoais de onde quer que possam encontrá-las. Eles também continuarão a vendê-lo, e as pessoas e organizações que pagarem por isso inevitavelmente o deixarão exposto de vez em quando. Independentemente de gostarmos ou não, nossos dados são coletados, organizados e copiados muitas vezes, e seguros para desconectar o cabo ethernet e viver como se fosse 1960 novamente, não há mais ou menos nada que possamos fazer sobre isso. Considerando tudo isso, o fato de esse vazamento específico não ter acontecido antes é realmente bastante surpreendente.