Salapärased kasutajate kogutud kirjed 1.2B inimestel lekkiva andmebaasi kaudu

Kas on vale koguda kõigi avalikku teavet ja panna see ühte kohta?

Vähemalt on see äärmiselt jube.

Reedel teatasid kaks turvauurijat 4-terabaidise andmebaasi avastamisest, mis hoidis arvestust 1,2 miljardi inimese kohta.

Sama andmebaasi paljastati avalikult ka Internetis ilma igasuguse turvalisuseta.

"Lekkinud andmed sisaldasid nimesid, e-posti aadresse, telefoninumbreid, LinkedIni ja Facebooki profiili teavet," kirjutas uurija Vinny Troia leidude kohta ajaveebipostituses.

Troia jätkab, et leid on "ajaloo üks suurimaid lekkeid ühest allikast pärit organisatsioonilt".

Kuid eksponeeritud andmed polnud päris privaatne teave; palju kraapiti tegelikult internetist.

Pärast andmebaasi avastamist Troia ja turvauurija Bob Diatšenko jälgis teabe kogumit kahe analüüsi ja turundusele spetsialiseerunud ettevõttega People Data Labs (PDL) ja Oxydata.

Mõlemad hoiavad kokku ka enam kui miljardi inimese demograafilisi üksikasju.

Näiteks on PDL-il uhke, et tal on üle 400 miljoni telefoninumbri ja miljard isiklikku e-posti aadressi.

Mõnel juhul kraapis PDL veebi- ja sotsiaalmeediaprofiilide andmed.

Muudel juhtudel ostis see teavet kolmandatelt isikutelt andmete vahendajatelt, kes võivad spetsialiseeruda inimeste kontaktandmete kogumisele sellistest allikatest nagu avalikud dokumendid või uuringud.

Mõlemad ettevõtted on pakkunud juurdepääsu dokumentidele, et aidata ettevõtetel suhelda potentsiaalsete klientidega.

Oxydata väidab, et teab isegi inimeste haridus- ja tööajalugu.

Aga mis juhtub, kui samad andmed satuvad valedesse kätesse?

Sellepärast peavad Dõtšenko ja Troia 4TB andmebaasi nii häirivaks.

Muidugi, see võis olla loodud turunduseesmärkidel.

Kuid teave on kogutud viisil, mis muudab inimese üksikasjaliku profiili otsimise ja otsimise aastate jooksul liiga lihtsaks.

Näiteks mainib Troia andmebaasi, mis sisaldab lauatelefoninumbrit AT&T, mis on ilmselt tema nimel registreeritud kümne aasta eest telekomplekti osana.

Niipalju kui teadlased suudavad öelda, ei kuulunud andmebaas samuti PDL-le ega Oxydatale, vaid anonüümsele kasutajale.

Miskipärast tõmbas salapärane näitleja mõlema ettevõtte isiklikke rekordeid ja salvestas need siis Elasticsearchi hostimine toimub Google Cloudi kaudu.

"Kui see oli klient, kellel oli tavaline juurdepääs PDL-i andmetele, siis see näitaks, et andmeid ei" varastatud ", vaid neid kuritarvitati," kirjutas Troia.

"Kahjuks ei leevenda see ühegi 1,2 miljardi inimese probleeme, kelle teave oli paljastatud."

Hea uudis on see, et paljastatud andmeid pole enam veebis.

Ütles Troia Ühendatud andmebaas suleti pärast seda, kui ta teatas FBI-le selle olemasolust.

Sellegipoolest rõhutab vahejuhtum seda, kui hõlpsalt saavad inimeste isikuandmed Internetis ringi liikuda ilma mingite kaitsemeetmeteta.

Varem on nii Troia kui ka Diatšenko paljastanud korduvaid juhtumeid, kus ettevõtted eksponeerisid kogemata veebiandmebaase, kus hoiti klientide teavet.

"Kui see ei olnud rikkumine, siis kes vastutab selle kokkupuute eest?" Küsib Troia oma kirjutises.

Nii PDL kui ka Oxydata ei vastanud kohe kommenteerimistaotlusele.

Kas on vale koguda kõigi avalikku teavet ja panna see ühte kohta?

Vähemalt on see äärmiselt jube.

Reedel teatasid kaks turvauurijat 4-terabaidise andmebaasi avastamisest, mis hoidis arvestust 1,2 miljardi inimese kohta.

Sama andmebaasi paljastati avalikult ka Internetis ilma igasuguse turvalisuseta.

"Lekkinud andmed sisaldasid nimesid, e-posti aadresse, telefoninumbreid, LinkedIni ja Facebooki profiili teavet," kirjutas uurija Vinny Troia leidude kohta ajaveebipostituses.

Troia jätkab, et leid on "ajaloo üks suurimaid lekkeid ühest allikast pärit organisatsioonilt".

Kuid eksponeeritud andmed polnud päris privaatne teave; palju kraapiti tegelikult internetist.

Pärast andmebaasi avastamist Troia ja turvauurija Bob Diatšenko jälgis teabe kogumit kahe analüüsi ja turundusele spetsialiseerunud ettevõttega People Data Labs (PDL) ja Oxydata.

Mõlemad hoiavad kokku ka enam kui miljardi inimese demograafilisi üksikasju.

Näiteks on PDL-il uhke, et tal on üle 400 miljoni telefoninumbri ja miljard isiklikku e-posti aadressi.

Mõnel juhul kraapis PDL veebi- ja sotsiaalmeediaprofiilide andmed.

Muudel juhtudel ostis see teavet kolmandatelt isikutelt andmete vahendajatelt, kes võivad spetsialiseeruda inimeste kontaktandmete kogumisele sellistest allikatest nagu avalikud dokumendid või uuringud.

Mõlemad ettevõtted on pakkunud juurdepääsu dokumentidele, et aidata ettevõtetel suhelda potentsiaalsete klientidega.

Oxydata väidab, et teab isegi inimeste haridus- ja tööajalugu.

Aga mis juhtub, kui samad andmed satuvad valedesse kätesse?

Sellepärast peavad Dõtšenko ja Troia 4TB andmebaasi nii häirivaks.

Muidugi, see võis olla loodud turunduseesmärkidel.

Kuid teave on kogutud viisil, mis muudab inimese üksikasjaliku profiili otsimise ja otsimise aastate jooksul liiga lihtsaks.

Näiteks mainib Troia andmebaasi, mis sisaldab lauatelefoninumbrit AT&T, mis on ilmselt tema nimel registreeritud kümne aasta eest telekomplekti osana.

Niipalju kui teadlased suudavad öelda, ei kuulunud andmebaas samuti PDL-le ega Oxydatale, vaid anonüümsele kasutajale.

Miskipärast tõmbas salapärane näitleja mõlema ettevõtte isiklikke rekordeid ja salvestas need siis Elasticsearchi hostimine toimub Google Cloudi kaudu.

"Kui see oli klient, kellel oli tavaline juurdepääs PDL-i andmetele, siis see näitaks, et andmeid ei" varastatud ", vaid neid kuritarvitati," kirjutas Troia.

"Kahjuks ei leevenda see ühegi 1,2 miljardi inimese probleeme, kelle teave oli paljastatud."

Hea uudis on see, et paljastatud andmeid pole enam veebis.

Ütles Troia Ühendatud andmebaas suleti pärast seda, kui ta teatas FBI-le selle olemasolust.

Sellegipoolest rõhutab vahejuhtum seda, kui hõlpsalt saavad inimeste isikuandmed Internetis ringi liikuda ilma mingite kaitsemeetmeteta.

Varem on nii Troia kui ka Diatšenko paljastanud korduvaid juhtumeid, kus ettevõtted eksponeerisid kogemata veebiandmebaase, kus hoiti klientide teavet.

"Kui see ei olnud rikkumine, siis kes vastutab selle kokkupuute eest?" Küsib Troia oma kirjutises.

Nii PDL kui ka Oxydata ei vastanud kohe kommenteerimistaotlusele.