Mysteriet slører dump af over 1 milliard menneskers personlige data

To sikkerhedseksperter opdagede i sidste måned en enorm mængde data, der blev efterladt blottet på en server. Data fundet på serveren tilhørte omkring 1,2 milliarder mennesker.

Kartikay Mehrotra skrev om det i fredags til Bloomberg, i en historie, sammen med en fra Kablet , som ofte blev citeret i weekenden. Dataene blev efterladt ubeskyttede på en Google Cloud-server.

FBI blev kontaktet, og serveren blev lukket ned. Ikke trivielt. Kablet omtalte situationen som et "jumbo" datalæk. Kablet sagde, at informationen sad udsat og let tilgængelig på en usikret server.

Dataene efterladt ubeskyttede var faktisk en database, samler 1,2 milliarder brugeres personlige oplysninger, f.eks., sociale medier konti, e-mailadresser og telefonnumre.

Hændelsen blev videregivet på Data Viper-bloggen.

"Den 16. oktober 2019 Bob Diachenko og Vinny Troia opdagede en vidåben Elasticsearch-server, der indeholder hidtil usete 4 milliarder brugerkonti, der spænder over mere end 4 terabyte data. Et samlet antal unikke mennesker på tværs af alle datasæt nåede ud til mere end 1,2 milliarder mennesker."

De var ude for at lave en rutinemæssig scanning for ubeskyttede data, og det var på det tidspunkt, hvor trove blev opdaget. FBI blev kontaktet.

Optræder i et Bloomberg-interview, Troia, Data Viper grundlægger, uddybet opdagelsen. "For at være ærlig var dette blot en del af vores normale undersøgelsesproces, hvor vi bare kiggede gennem åbne webservere for at lede efter databaser, der potentielt har værdifuld information i dem, og vi stødte bare på det."

De 4 terabyte af personlige oplysninger, omkring 1,2 milliarder optegnelser, gjorde ikke inkludere adgangskoder, kreditkortnumre, eller CPR-numre, sagde Lily Hay Newman ind Kablet .

Hun forklarede, hvad det afslørede. "Det gør det, selvom, indeholde profiler af hundreder af millioner af mennesker, der inkluderer hjemme- og mobiltelefonnumre, tilknyttede sociale medieprofiler som Facebook, Twitter, LinkedIn, og Github, arbejdshistorier tilsyneladende skrabet fra LinkedIn, næsten 50 millioner unikke telefonnumre, og 622 millioner unikke e-mailadresser."

Bloomberg citerede Troia. "Der er ingen adgangskoder relateret til disse data, men at have en ny, frisk sæt adgangskoder er ikke så spændende længere. At have alt det her sociale medie på ét sted er et nyttigt våben og efterforskningsværktøj."

Trods alt, bare nappe navne, telefonnumre og konto-URL'er leverer rigelig information til at få angribere i gang.

Harrison Van Riper, analytiker hos sikkerhedsfirmaet Digital Shadows, gjorde en lignende pointe i Kablet . "Van Riper bemærker, at mens adgangskoder, kreditkortnumre, og offentlige id'er er de mest åbenlyst truende informationer for svindlere at have, det er vigtigt ikke at undervurdere betydningen af ​​alle de understøttende data, der hjælper med at opbygge forbrugerprofiler."

Hvem ejede serveren? Det er uklart, hvordan optegnelserne kom dertil i første omgang, sagde Kablet . De data, som Troia opdagede, så ud til at være fire datasæt samlet. Velkommen til en verden af ​​dem, der misbruger "databerigelse."

Jacob J in International Business Times bemærkede en "stærkt ubeskyttet og ureguleret databerigelse forretningsscene." Datasættene så ud til at stamme fra forskellige databerigelsesvirksomheder.

Cory Doctorow ind Boing Boing tegnede også et tomrum:"Ingen ved, hvem der ejer Google Cloud-drevet, der afslørede 1,2 milliarder brugerregistreringer, " skrev han. Doctorow forklarede, at datamæglere som People Data Labs og Oxydata "måske simpelthen har solgt dataene til en kunde, der udførte fletteoperationen og derefter satte de resulterende filer på en ubeskyttet server."

"Ejeren af ​​denne server brugte sandsynligvis et af vores berigelsesprodukter, sammen med en række andre databerigelses- eller licenstjenester, " sagde Sean Thorne, medstifter af People Data Labs, i Kablet rapport.

Så, hvis spor forfølger man for at finde ud af, hvordan dataene blev eksponeret i første omgang? Eksperter sagde held og lykke med det.

"Identifikation af udsatte/navnløse servere er en af ​​de sværeste dele af en undersøgelse. I dette tilfælde, alt, hvad vi kan se ud fra IP-adressen...er, at den er (eller var) hostet med Google Cloud, " sagde Data Viper-bloggen. "På grund af åbenlyse bekymringer om privatlivets fred vil cloud-udbydere ikke dele nogen information om deres kunder, gør dette til en blindgyde."

Robert Prigge, Præsident for Jumio, diskuterede nyheden med Digital Journal :

"Vi lever i en æra, hvor information fra afbrudte databrud, såvel som legitime datasælgende virksomheder, kombineres ofte for at skabe omfattende identitetsprofiler på det mørke web, inkorporerer alt fra personlige identificerbare oplysninger, til jobhistorie, til indkøbspræferencer, til dating profiler, og mere. Det dybe niveau af tilgængelig viden er skræmmende, og det gør det ekstremt nemt for kriminelle at begå digital identitetssvig på en række forskellige måder."

© 2019 Science X Network