1,2 bilhão de registros de dados privados foram encontrados em um servidor não seguro

1.2 billion people affected by a data leak

Aqueles de vocês com interesse ativo em segurança cibernética não ficarão surpresos ao descobrir que os pesquisadores divulgaram a descoberta de outro servidor aberto que continha uma quantidade enorme de informações pessoais. Desta vez, a escala do vazamento é absolutamente incompreensível, mas o que é ainda mais decepcionante é o fato de que, quando você aprender o que aconteceu exatamente, verá o quão inevitável esse incidente foi.

Pesquisadores descobrem 4 TB de informações pessoais em um servidor Elasticsearch não seguro

Em 16 de outubro, Vinny Troia e Bob Diachenko encontraram um servidor Elasticsearch que não estava protegido por senha e estava acessível a qualquer pessoa que tivesse um navegador e sabia onde procurar. Os dois não são novos para esse tipo de coisa. De fato, Bob Diachenko, em particular, é responsável pela divulgação de alguns vazamentos semelhantes. Mesmo ele ficou bastante chocado com o tamanho dos dados expostos nesse caso em particular.

O banco de dados pesava 4TB e possuía enormes 4 bilhões de contas. Havia algumas duplicatas, mas mesmo depois de removê-las, os pesquisadores estavam analisando os registros pessoais de mais de 1,2 bilhão de indivíduos. Os índices no banco de dados não eram uniformes e os dados expostos variavam de registro para registro. Após o processamento das informações, os especialistas descobriram que o servidor Elasticsearch aberto mantinha, entre outras coisas:

  • Mais de 1 bilhão de endereços de email pessoais.
  • Mais de 400 milhões de números de telefone.
  • Mais de 420 milhões de URLs do LinkedIn.
  • Mais de 1 bilhão de URLs e IDs de conta no Facebook, além de outros dados relacionados à presença nas mídias sociais dos usuários.

O banco de dados não continha detalhes de cartão de crédito, números de seguridade social ou senhas, mas os indivíduos afetados ainda devem estar atentos a quaisquer sinais de roubo de identidade e fraude. Diachenko e Troia compartilharam os dados vazados com Troy Hunt, que os carregou no serviço de alerta de violação de dados Have I Been Pwned, o que significa que você pode ir até lá e verificar se foi ou não afetado pelo vazamento.

Escusado será dizer que, assim que descobriram as informações, os pesquisadores de segurança tomaram as medidas necessárias para colocá-las offline. O FBI foi informado, mas antes que as agências de aplicação da lei pudessem agir, o banco de dados foi desativado, presumivelmente por seu proprietário. É impossível dizer quando os dados apareceram no servidor Elasticsearch pela primeira vez e quem os acessou enquanto estavam expostos.

Quem é o culpado?

Cada um dos registros em um banco de dados tinha um campo chamado "origem", e o valor nele era "PDL" ou "Oxy". "PDL" significa People Data Labs e "Oxy" vem de Oxydata. People Data Labs e Oxydata são as duas empresas de enriquecimento de dados que coletaram todos esses registros.

O negócio de uma empresa de enriquecimento de dados gira em torno da coleta do máximo possível de informações publicamente disponíveis sobre você e da criação de um perfil detalhado com base no que encontra. Esse perfil, junto com milhões de outros, é vendido a qualquer pessoa disposta a pagar uma taxa predeterminada. O People Data Labs e o Oxydata realmente coletaram as informações. Isso não significa que eles vazaram, no entanto.

Depois de descobrir o vazamento, Vinny Troia compartilhou suas descobertas com Lily Hay Newman, da Wired, que relatou a exposição e entrou em contato com a People Data Labs e a Oxydata para perguntar o que eles acham disso. As duas empresas admitiram que poderiam ser a fonte definitiva das informações inseridas no banco de dados, mas ambas insistiram em não ter sofrido uma violação de dados.

Com toda a probabilidade, um cliente do People Data Labs e Oxydata pagou por todas essas informações, colocou-as em um único banco de dados e as deixou no servidor Elasticsearch configurado incorretamente. Martynas Simanauskas, representante da Oxydata, disse à Wired que sua empresa tem acordos com seus clientes projetados para garantir que os dados sejam processados com segurança. Mesmo ele admitiu, no entanto, que uma vez que o cliente tenha as informações, as opções para evitar o uso indevido são mais ou menos inexistentes.

Este foi o principal ponto de discussão no post de Troy Hunt no blog dedicado à exposição. O fato lamentável da questão é que empresas de enriquecimento de dados como a People Data Labs e a Oxydata continuarão raspando nossas informações pessoais de onde quer que possam encontrá-las. Eles também continuarão a vendê-lo, e as pessoas e organizações que pagarem por isso inevitavelmente o deixarão exposto de vez em quando. Independentemente de gostarmos ou não, nossos dados são coletados, organizados e copiados muitas vezes, e seguros para desconectar o cabo ethernet e viver como se fosse 1960 novamente, não há mais ou menos nada que possamos fazer sobre isso. Considerando tudo isso, o fato de esse vazamento específico não ter acontecido antes é realmente bastante surpreendente.

November 27, 2019

Deixe uma Resposta

IMPORTANTE! Para poder prosseguir, você precisa resolver a seguinte conta.
Please leave these two fields as is:
O que é 10 + 6 ?