在不安全的服務器上發現了12億條私有數據記錄

1.2 billion people affected by a data leak

那些對網絡安全抱有濃厚興趣的人不會驚訝地發現研究人員披露了發現另一台擁有大量個人信息的全開放式服務器的發現。這次,洩漏的規模絕對令人難以置信,但是比這更令人失望的是,當您確切地了解發生了什麼時,您會發現此事件是多麼不可避免。

研究人員在不安全的Elasticsearch服務器上發現4TB的個人信息

10月16日,Vinny Troia和Bob Diachenko 偶然發現了一台不受密碼保護的Elasticsearch服務器,任何擁有瀏覽器並且知道瀏覽位置的人都可以訪問該服務器。兩者對於這種事情並不陌生。實際上,尤其鮑勃·迪亞琴科(Bob Diachenko )負責披露許多類似的漏洞。不過,即使在這種特定情況下,他也為所公開的數據量感到震驚。

該數據庫的容量高達4TB,擁有龐大的40億個帳戶。雖然有很多重複項,但是即使刪除了重複項,研究人員仍在查看超過12億個人的個人記錄。數據庫中的索引不一致,並且公開的數據因記錄而異。在處理了這些信息之後,專家們發現開放的Elasticsearch服務器除其他外具有以下優點:

  • 超過十億個個人電子郵件地址。
  • 超過4億個電話號碼。
  • 超過4.2億個LinkedIn URL。
  • 超過10億個Facebook URL和帳戶ID以及與用戶的社交媒體狀態相關的其他數據。

該數據庫不包含任何信用卡詳細信息,社會安全號碼或密碼,但受影響的個人仍應注意身份盜竊和欺詐的跡象。 Diachenko和Troia與Troy Hunt共享了洩漏的數據,Troy Hunt將其加載到了“我已被擁有”數據洩露警報服務中,這意味著您可以去那裡檢查是否受到洩漏的影響。

毋庸置疑,安全研究人員一發現信息,便採取了必要步驟將其離線。聯邦調查局已被告知,但在執法機構採取行動之前,該數據庫被關閉了,大概是由其所有者關閉的。無法確定數據何時首次出現在Elasticsearch服務器上,以及誰在暴露數據時訪問了它。

誰該怪?

數據庫中的每個記錄都有一個標記為“源”的字段,其中的值為“ PDL”或“ Oxy”。 “ PDL”代表People Data Labs,“ Oxy”來自Oxydata。 People Data Labs和Oxydata是收集所有這些記錄的兩家數據充實公司。

數據充實公司的業務圍繞收集盡可能多的有關您的公開信息,並根據發現的信息創建詳細的配置文件。然後,此配置文件以及數百萬個其他配置文件被出售給願意支付預定費用的任何人。 People Data Labs和Oxydata確實收集了信息。不過,這並不意味著他們洩漏了它。

發現洩漏後,Vinny Troia與Wired的Lily Hay Newman分享了他的發現,後者報告了暴露情況,並與People Data Labs和Oxydata聯繫,詢問他們對此有何看法。兩家公司承認,它們可能是數據庫中存儲信息的最終來源,但是他們都堅持認為自己沒有遭受數據洩露。

People Data Labs和Oxydata的客戶極有可能為所有這些信息付費,將其放在單個數據庫中,然後將其留在配置錯誤的Elasticsearch服務器上。 Oxydata代表Martynas Simanauskas告訴Wired,他的公司與客戶簽訂了旨在確保安全處理數據的協議。但是,即使他也承認,一旦客戶掌握了信息,防止濫用的選擇就幾乎不存在了。

這是特洛伊·亨特(Troy Hunt)專門針對此次曝光的博客文章中的主要話題。不幸的事實是,諸如People Data Labs和Oxydata之類的數據充實公司將繼續從任何地方找到我們的個人信息。他們還將繼續出售它,為此買單的人和組織將不可避免地時不時地將其暴露在外。不管我們是否喜歡,我們的數據都會被收集,組織和復制多次,並且可以安全拔出以太網電纜並像1960年一樣生活,我們對此幾乎無能為力。考慮到所有這一切,這種特殊的洩漏並沒有很快發生的事實實際上是令人驚訝的。

November 27, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
2 + 3是什麼?