En ny brud massiv data blev for nylig opdaget af sikkerhedseksperter. Tilsyneladende, i oktober 16, 2019 Data Viper sikkerhedseksperter Bob Diachenko og Vinny Troia opdagede en bred åben Elasticsearch server, som indeholdt ”en hidtil uset 4 milliard brugerkonti spænder mere end 4 terabytes af data."
Denne server var tilgængelig uden brug af autentificering, som udsættes data på mere end 1.2 milliard unikke individer. Dette gør det bruddet en af de største data lækager fra en enkelt kilde hidtil.
Information af 1.2 Mia Personer Udsat
Den Elastisk søgning server, der indeholdt den udsatte oplysninger var ubeskyttet og tilgængelige via en webbrowser på https://35.199.58.125:9200, forskerne sagde, tilføjer, at ingen adgangskode eller nogen form for godkendelse var på plads for at beskytte data.
Det skal bemærkes, at Elasticsearch gemmer sine oplysninger i et indeks, som svarer til en database. De fleste af de data, der spændte 4 separate data indekser, mærket ”PDL” og ”OXY”, med oplysninger om ca. 1 milliard mennesker per indeks. Hver bruger rekord havde en af disse to mærker som en kilde felt.
Baseret på data Viper analyse af data, Det er nu sikkert at antage, at dataene i PDL indekser kom fra People data Labs, der er en data aggregator og berigelse selskab.
Forskerne DE-duplikeret den næsten 3 milliard mennesker data Labs (PDL) brugerposter og opdagede 1.2 milliard unikke mennesker og 650 million unikke e-mail adresser. Disse tal svarer til de statistiske oplysninger på People data Labs hjemmeside.
“Data i de tre forskellige PDL indekser også varieret lidt, nogle fokuserer på skrabet LinkedIN oplysninger, e-mail adresser og telefonnumre, mens andre indekser givet oplysninger om de enkelte sociale medier profiler såsom en persons Facebook, Twitter, og GitHub URL'er,” hedder det i rapporten.
Det er bemærkelsesværdigt, at PDL program kan bruges til at søge mere end 1.5 milliard unikke mennesker såvel som personlige adresser, e-mailadresser, LinkedIn URL'er, og telefonnumre.
De data, opdaget på den åbne Elasticsearch serveren var næsten en komplet kamp at dataene bliver returneret af People data Labs API. Den eneste forskel er de data, der returneres af PDL også indeholdt undervisning historier. Der var ingen uddannelse oplysninger i hvilken som helst af de data, hentet fra serveren. Alt andet var nøjagtig det samme, herunder konti med flere e-mail adresser og flere telefonnumre.
Med hensyn til de data, der er mærket med ”OXY”, en analyse førte forskerne til OxyData.io, som også er en data berigelse selskab. ”OxyData hjemmeside hævder at have 4 TB brugerdata (præcis opdaget beløbet), men kun 380 million mennesker profiler,”Hedder det i rapporten. De fleste af disse data blev skrabet fra LinkedIn, herunder recruiter detaljer. Forskerne kontaktede OxyData og fandt ud af, at serveren ikke gjorde selv tilhører dem.
Selskabet nægtede at give adgang til API, så forskerne kunne teste og sammenligne profiler. Men, selskabet har sendt en kopi af forskerens egen rekord, som også bekræftet, at det blev skrabet fra LinkedIn og matches med den enkelte.
"På grund af den enorme mængde af personlige oplysninger inkluderet, kombineret med kompleksiteten i at identificere ejeren data, dette har potentiale til at rejse spørgsmål om effektiviteten af vores nuværende lovgivningen om bekendtgørelse om privatlivets fred og brud,”Data Viper indgået.