Mysterieuze gebruiker verzamelde records op 1,2 miljard mensen via lekkende database

Is het verkeerd om de openbare informatie van iedereen te verzamelen en deze op één plek te plaatsen?

Het is op zijn minst extreem griezelig.

Vrijdag meldden twee beveiligingsonderzoekers dat ze een database van 4 terabyte hadden ontdekt die de records van maar liefst 1,2 miljard mensen bevatte.

Dezelfde database werd ook openlijk op internet gezet zonder enige beveiliging.

"De gelekte gegevens bevatten namen, e-mailadressen, telefoonnummers, LinkedIn- en Facebook-profielinformatie", schreef onderzoeker Vinny Troia in een blogpost over de bevindingen.

Troia gaat verder met te zeggen dat de bevinding "een van de grootste datalekken van een enkele bronorganisatie in de geschiedenis" is.

De blootgestelde gegevens waren echter niet bepaald privé-informatie; veel ervan is daadwerkelijk van internet gehaald.

Nadat ze de database hebben ontdekt, trekken Troia en beveiligingsonderzoeker Bob Diachenko herleidde de schat aan informatie tot twee bedrijven genaamd People Data Labs (PDL) en Oxydata, die gespecialiseerd zijn in analyse en marketing.

Beiden bevatten gezamenlijk ook demografische gegevens over meer dan een miljard mensen.

PDL heeft bijvoorbeeld het bezit van meer dan 400 miljoen telefoonnummers en een miljard persoonlijke e-mailadressen.

In sommige gevallen schraapte PDL de gegevens van het web en van socialemediaprofielen.

In andere gevallen kocht het de informatie van externe gegevensmakelaars, die zich kunnen specialiseren in het verzamelen van contactgegevens van mensen uit bronnen zoals openbare registers of enquêtes.

Beide bedrijven bieden toegang tot de gegevens om bedrijven te helpen contact te leggen met potentiële klanten.

Oxydata beweert dat het zelfs de opleiding en het arbeidsverleden van mensen kent.

Maar wat gebeurt er als diezelfde gegevens in verkeerde handen vallen?

Daarom vinden Diachenko en Troia de 4TB-database zo verontrustend.

Natuurlijk is het mogelijk gemaakt voor marketingdoeleinden.

Maar de informatie is verzameld op een manier die het voor iemand maar al te gemakkelijk maakt om het gedetailleerde profiel van een persoon over een periode van jaren te doorzoeken en op te zoeken.

Troia noemt bijvoorbeeld de database met een vast telefoonnummer dat AT&T blijkbaar op zijn naam heeft geregistreerd als onderdeel van een tv-bundel tien jaar geleden.

Voor zover de onderzoekers kunnen nagaan, was de database ook geen eigendom van PDL of Oxydata, maar van een anonieme gebruiker.

Om welke reden dan ook, de mysterieuze acteur haalde de persoonlijke gegevens van beide bedrijven op en bewaarde ze vervolgens op wat een bleek te zijn Elasticsearch gehost via Google Cloud?

"Als dit een klant was die normaal toegang had tot de gegevens van PDL, dan zou dit erop duiden dat de gegevens niet daadwerkelijk 'gestolen' waren, maar eerder misbruikt", schreef Troia.

"Dit verlicht helaas niet de problemen van de 1,2 miljard mensen die hun informatie hadden laten zien."

Het goede nieuws is dat de blootgestelde records niet langer online zijn.

Troia vertelde het Bedrade de database werd gesloten nadat hij de FBI op de hoogte had gesteld van het bestaan ??ervan.

Desalniettemin onderstreept het incident hoe gemakkelijk de persoonlijke gegevens van mensen over het internet kunnen circuleren zonder dat er voorzorgsmaatregelen zijn genomen.

In het verleden hebben zowel Troia als Diachenko herhaalde gevallen aan het licht gebracht waarbij bedrijven per ongeluk online databases met klantgegevens hebben blootgelegd.

"Als dit geen inbreuk was, wie is dan verantwoordelijk voor deze blootstelling?" Vraagt ??Troia in zijn artikel.

Zowel PDL als Oxydata reageerden niet onmiddellijk op een verzoek om commentaar.

Is het verkeerd om de openbare informatie van iedereen te verzamelen en deze op één plek te plaatsen?

Het is op zijn minst extreem griezelig.

Vrijdag meldden twee beveiligingsonderzoekers dat ze een database van 4 terabyte hadden ontdekt die de records van maar liefst 1,2 miljard mensen bevatte.

Dezelfde database werd ook openlijk op internet gezet zonder enige beveiliging.

"De gelekte gegevens bevatten namen, e-mailadressen, telefoonnummers, LinkedIn- en Facebook-profielinformatie", schreef onderzoeker Vinny Troia in een blogpost over de bevindingen.

Troia gaat verder met te zeggen dat de bevinding "een van de grootste datalekken van een enkele bronorganisatie in de geschiedenis" is.

De blootgestelde gegevens waren echter niet bepaald privé-informatie; veel ervan is daadwerkelijk van internet gehaald.

Nadat ze de database hebben ontdekt, trekken Troia en beveiligingsonderzoeker Bob Diachenko herleidde de schat aan informatie tot twee bedrijven genaamd People Data Labs (PDL) en Oxydata, die gespecialiseerd zijn in analyse en marketing.

Beiden bevatten gezamenlijk ook demografische gegevens over meer dan een miljard mensen.

PDL heeft bijvoorbeeld het bezit van meer dan 400 miljoen telefoonnummers en een miljard persoonlijke e-mailadressen.

In sommige gevallen schraapte PDL de gegevens van het web en van socialemediaprofielen.

In andere gevallen kocht het de informatie van externe gegevensmakelaars, die zich kunnen specialiseren in het verzamelen van contactgegevens van mensen uit bronnen zoals openbare registers of enquêtes.

Beide bedrijven bieden toegang tot de gegevens om bedrijven te helpen contact te leggen met potentiële klanten.

Oxydata beweert dat het zelfs de opleiding en het arbeidsverleden van mensen kent.

Maar wat gebeurt er als diezelfde gegevens in verkeerde handen vallen?

Daarom vinden Diachenko en Troia de 4TB-database zo verontrustend.

Natuurlijk is het mogelijk gemaakt voor marketingdoeleinden.

Maar de informatie is verzameld op een manier die het voor iemand maar al te gemakkelijk maakt om het gedetailleerde profiel van een persoon over een periode van jaren te doorzoeken en op te zoeken.

Troia noemt bijvoorbeeld de database met een vast telefoonnummer dat AT&T blijkbaar op zijn naam heeft geregistreerd als onderdeel van een tv-bundel tien jaar geleden.

Voor zover de onderzoekers kunnen nagaan, was de database ook geen eigendom van PDL of Oxydata, maar van een anonieme gebruiker.

Om welke reden dan ook, de mysterieuze acteur haalde de persoonlijke gegevens van beide bedrijven op en bewaarde ze vervolgens op wat een bleek te zijn Elasticsearch gehost via Google Cloud?

"Als dit een klant was die normaal toegang had tot de gegevens van PDL, dan zou dit erop duiden dat de gegevens niet daadwerkelijk 'gestolen' waren, maar eerder misbruikt", schreef Troia.

"Dit verlicht helaas niet de problemen van de 1,2 miljard mensen die hun informatie hadden laten zien."

Het goede nieuws is dat de blootgestelde records niet langer online zijn.

Troia vertelde het Bedrade de database werd gesloten nadat hij de FBI op de hoogte had gesteld van het bestaan ??ervan.

Desalniettemin onderstreept het incident hoe gemakkelijk de persoonlijke gegevens van mensen over het internet kunnen circuleren zonder dat er voorzorgsmaatregelen zijn genomen.

In het verleden hebben zowel Troia als Diachenko herhaalde gevallen aan het licht gebracht waarbij bedrijven per ongeluk online databases met klantgegevens hebben blootgelegd.

"Als dit geen inbreuk was, wie is dan verantwoordelijk voor deze blootstelling?" Vraagt ??Troia in zijn artikel.

Zowel PDL als Oxydata reageerden niet onmiddellijk op een verzoek om commentaar.