1.2 Miljarder privata dataposter har hittats på en osäker server

1.2 billion people affected by a data leak

De av er som har ett aktivt intresse för cybersäkerhet kommer inte att bli förvånade över att veta att forskare har avslöjat upptäckten av ännu en vidöppen server som innehöll en enorm mängd personlig information. Den här gången är omfattningen av läckan helt otrolig, men vad som är ännu mer besvikande än det är det faktum att när du lär dig vad som hände exakt, kommer du att se hur oundviklig denna incident var.

Forskare upptäcker 4 TB personlig information på en osäker Elasticsearch-server

Den 16 oktober snubblat Vinny Troia och Bob Diachenko över en Elasticsearch-server som inte var skyddad av ett lösenord och var tillgängligt för alla som hade en webbläsare och visste var de skulle titta. De två är inte nya för den här typen av saker. Faktum är att faktiskt Bob Diachenko är ansvarig för avslöjandet av en hel del liknande läckor. Även han var ganska chockad över storleken på de exponerade uppgifterna i just detta fall.

Databasen vägde in på en enorm 4TB, och den innehöll enorma 4 miljarder konton. Det fanns en hel del duplikat, men även efter att ha tagit bort dem såg forskarna på personliga register över 1,2 miljarder individer. Indexen i databasen var inte enhetliga, och de exponerade uppgifterna varierade från post till post. Efter bearbetningen av informationen fick experterna reda på att den öppna Elasticsearch-servern innehöll bland annat:

  • Mer än 1 miljard personliga e-postadresser.
  • Mer än 400 miljoner telefonnummer.
  • Mer än 420 miljoner LinkedIn-webbadresser.
  • Mer än 1 miljard Facebook-URL: er och konto-ID: er samt andra data relaterade till användarnas närvaro på sociala medier.

Databasen innehöll inga kreditkortsuppgifter, personnummer eller lösenord, men berörda individer borde fortfarande leta efter tecken på identitetsstöld och bedrägeri. Diachenko och Troia delade de läckta uppgifterna med Troy Hunt, som laddade in dem i varningstjänsten Have I Been Pwned, vilket innebär att du kan åka dit och kontrollera om du har påverkats av läckan eller inte.

Naturligtvis tog säkerhetsforskarna så snart de upptäckte informationen nödvändiga åtgärder för att föra den offline. FBI informerades, men innan de brottsbekämpande myndigheterna kunde vidta åtgärder lades databasen ner, förmodligen av dess ägare. Det är omöjligt att säga när uppgifterna dök upp på Elasticsearch-servern för första gången och vem som fick tillgång till dem medan de exponerades.

Vem ska man skylla på?

Varje enskild post i en databas hade ett fält märkt "källa", och värdet i det var antingen "PDL" eller "Oxy". "PDL" står för People Data Labs, och "Oxy" kommer från Oxydata. People Data Labs och Oxydata är de två datainrikningsföretagen som samlade in alla dessa poster.

Verksamheten hos ett datarikningsföretag handlar om att samla in så mycket offentligt tillgänglig information om dig som möjligt och skapa en detaljerad profil baserad på vad den hittar. Denna profil, tillsammans med miljontals andra, säljs sedan till alla som är villiga att betala en förutbestämd avgift. People Data Labs och Oxydata samlade faktiskt in informationen. Men det betyder inte att de läckte ut det.

Efter att ha upptäckt läckan delade Vinny Troia sina resultat med Wired's Lily Hay Newman, som rapporterade exponeringen och kontaktade People Data Labs och Oxydata för att fråga dem vad de tycker om det. De två företagen medgav att de kanske är den ultimata källan till informationen som lagts i databasen, men de båda insisterade på att de inte hade lidit ett dataöverträdelse.

Med all sannolikhet betalade en kund av People Data Labs och Oxydata för all denna information, lagde den i en enda databas och lämnade den på den felkonfigurerade Elasticsearch-servern. Martynas Simanauskas, en Oxydata-representant, berättade för Wired att hans företag har avtal med sina kunder som syftar till att säkerställa att uppgifterna behandlas säkert. Även han medgav emellertid att när klienten har informationen är alternativen för att förhindra missbruk mer eller mindre obefintliga.

Detta var den viktigaste samtalspunkten i Troy Hunts blogginlägg tillägnad exponeringen. Det olyckliga faktum är att datainrikningsföretag som People Data Labs och Oxydata kommer att fortsätta skrapa vår personliga information varhelst de kan hitta den. De kommer också att fortsätta sälja det, och de människor och organisationer som betalar för det kommer oundvikligen att lämna det exponerat då och då. Oavsett om vi gillar det eller inte, våra uppgifter samlas in, organiseras och kopieras många gånger, och det är säkert för att koppla bort Ethernet-kabeln och leva som om det är 1960 igen, det finns mer eller mindre ingenting vi kan göra åt det. Med tanke på allt detta är det faktum att denna speciella läcka inte inträffade förr faktiskt ganska förvånande.

November 27, 2019

Lämna ett svar

VIKTIG! För att kunna fortsätta måste du lösa följande enkla matematik.
Please leave these two fields as is:
Vad är 3 + 4?