在不安全的服务器上发现了12亿条私有数据记录
那些对网络安全抱有浓厚兴趣的人不会惊讶地发现研究人员披露了发现另一台拥有大量个人信息的全开放式服务器的发现。这次,泄漏的规模绝对令人难以置信,但是比这更令人失望的是,当您确切地了解所发生的事情时,您会发现该事件是多么不可避免。
研究人员在不安全的Elasticsearch服务器上发现4TB的个人信息
10月16日,Vinny Troia和Bob Diachenko 偶然发现了一台不受密码保护的Elasticsearch服务器 ,任何拥有浏览器并且知道浏览位置的人都可以访问该服务器。两者对于这种事情并不陌生。实际上,尤其是鲍勃·迪亚琴科(Bob Diachenko )负责披露许多类似的漏洞。不过,即使在这种特定情况下,他也为所公开的数据量感到震惊。
该数据库的容量高达4TB,拥有庞大的40亿个帐户。虽然有很多重复项,但是即使删除了重复项,研究人员仍在查看超过12亿个人的个人记录。数据库中的索引不一致,并且公开的数据因记录而异。在处理了这些信息之后,专家们发现开放的Elasticsearch服务器除其他外具有以下优点:
- 超过十亿个个人电子邮件地址。
- 超过4亿个电话号码。
- 超过4.2亿个LinkedIn URL。
- 超过10亿个Facebook URL和帐户ID以及与用户的社交媒体状态相关的其他数据。
该数据库不包含任何信用卡详细信息,社会安全号码或密码,但受影响的个人仍应注意身份盗窃和欺诈的迹象。 Diachenko和Troia与Troy Hunt共享了泄漏的数据,Troy Hunt将其加载到了“我已被拥有”数据泄露警报服务中,这意味着您可以去那里检查是否受到泄漏的影响。
毋庸置疑,安全研究人员一发现信息,便采取了必要步骤将其离线。联邦调查局被告知,但是在执法机构采取行动之前,该数据库被关闭了,大概是由其所有者关闭的。无法确定数据何时首次出现在Elasticsearch服务器上,以及谁在暴露数据时访问了它。
谁该怪?
数据库中的每个记录都有一个标记为“源”的字段,其中的值为“ PDL”或“ Oxy”。 “ PDL”代表People Data Labs,“ Oxy”来自Oxydata。 People Data Labs和Oxydata是收集所有这些记录的两家数据充实公司。
数据充实公司的业务围绕收集尽可能多的有关您的公开信息,并根据发现的信息创建详细的配置文件。然后,此配置文件以及数百万个其他配置文件被出售给愿意支付预定费用的任何人。 People Data Labs和Oxydata确实收集了信息。不过,这并不意味着他们泄漏了它。
发现泄漏后,Vinny Troia与Wired的Lily Hay Newman分享了他的发现,后者报告了暴露情况,并与People Data Labs和Oxydata联系,询问他们对此有何看法。两家公司承认,它们可能是存储在数据库中的信息的最终来源,但他们都坚持认为自己没有遭受数据泄露。
People Data Labs和Oxydata的客户极有可能为所有这些信息付费,将其放在单个数据库中,然后将其留在配置错误的Elasticsearch服务器上。 Oxydata代表Martynas Simanauskas告诉Wired,他的公司与客户签订了旨在确保安全处理数据的协议。但是,即使他也承认,一旦客户掌握了信息,防止滥用的选择就几乎不存在了。
这是特洛伊·亨特(Troy Hunt)专门针对此次曝光的博客文章中的主要话题。不幸的事实是,诸如People Data Labs和Oxydata之类的数据充实公司将继续从任何地方找到我们的个人信息。他们还将继续出售它,为此买单的人和组织将不可避免地时不时地将其暴露在外。不管我们是否喜欢,我们的数据都会被收集,组织和复制多次,并且可以安全拔出以太网电缆并像1960年一样生活,我们对此几乎无能为力。考虑到所有这一切,这种特殊的泄漏并没有很快发生的事实实际上是令人惊讶的。