Eine neue massive Datenschutzverletzung wurde vor kurzem von Sicherheitsexperten entdeckt. Offenbar, im Oktober 16, 2019 Daten Viper Sicherheitsforscher Bob Diachenko und Vinny Troia entdeckte einen weit offenen Elasticsearch Server, die „enthalteneine noch nie dagewesene 4 Milliarden-Benutzerkonten über mehr als 4 Terabytes von Daten."
Dieser Server zugänglich war, ohne die Notwendigkeit der Authentifizierung, die freigelegt, die Daten von mehr als 1.2 Milliarden einzigartige Individuen. Dies macht die Datenschutzverletzung einer der größten Datenlecks aus einer Hand weit so.
Nützliche Informationen 1.2 Milliarden Menschen Exposed
Die Elastic Suchserver, der die freigelegten Informationen enthalten war ungeschützt und zugänglich über einen Web-Browser an https://35.199.58.125:9200, sagten die Forscher, Hinzufügen, dass kein Passwort oder jede Form von Authentifizierung vorhanden war, die Daten zu schützen,.
Es ist zu beachten, dass Elasticsearch seine Informationen in einem Index speichert, das ist ähnlich einer Datenbank. Die meisten der Daten überspannte 4 separate Daten Indizes, Bezeichnung „PDL“ und „OXY“, mit Informationen über ca. 1 Milliarden Menschen pro Index. Jeder Benutzerdatensatz hatte eine dieser beiden Etiketten als Quellfeld.
Basierend auf Daten Viper Analyse der Daten, es ist jetzt sicher davon ausgehen, dass die Daten in dem PDL-Indizes von Menschen Data Labs kamen, die eine Daten-Aggregator und Anreicherungsunternehmen.
Die Forscher dedupliziert die fast 3 Milliarden Menschen Data Labs (PDL) Benutzerdatensätze und entdeckt 1.2 Milliarden Menschen einzigartig und 650 Millionen eindeutige E-Mail-Adressen. Diese Zahlen entsprechen die Statistiken über die Menschen Data Labs Website zur Verfügung gestellten.
“Die Daten in den drei verschiedenen PDL-Indizes ebenfalls leicht verändert, einige mit Schwerpunkt auf geschabt LinkedIN Informationen, E-Mail-Adressen und Telefonnummern, während andere Indizes Informationen zu den einzelnen Social-Media-Profile wie eine Person, die Facebook zur Verfügung gestellt, Zwitschern, und Github URLs,” so der Bericht.
Es ist bemerkenswert, dass die PDL-Anwendung mehr suchen, verwendet werden kann als 1.5 Milliarden einzigartige Menschen sowie persönliche Adressen, E-Mail-Adressen, LinkedIn URLs, und Telefonnummern.
Die Daten auf dem offenen Elasticsearch Server entdecken, waren fast eine vollständige Übereinstimmung mit den Daten, die von den Menschen Data Labs API zurückgegeben werden. Der einzige Unterschied besteht darin, die Daten durch die PDL auch Bildungshistorien enthalten zurück. Es gab heruntergeladen keine Ausbildung Informationen in eines der Daten vom Server. Alles andere war genau das gleiche, einschließlich Konten mit mehreren E-Mail-Adressen und mehreren Telefonnummern.
Was die mit „OXY“ markierten Daten, eine Analyse führte die Forscher zu OxyData.io, die auch eine Datenanreicherung Unternehmen. „OxyData Webseite Ansprüche 4 TB Benutzerdaten haben (genau die Menge entdeckt), aber nur 380 Millionen Menschen Profile,“So der Bericht. Die meisten dieser Daten wurde von LinkedIn geschabt, einschließlich Werber Details. Die Forscher kontaktierten OxyData und fanden heraus, dass der Server, gehört sie nicht einmal tat.
Das Unternehmen weigerte sich, die Zugang zu der API, so dass die Forscher konnten Profile testen und vergleichen. Jedoch, Das Unternehmen schickte eine Kopie des eigenen Rekord des Forschers, die auch bestätigt, dass es von LinkedIn und abgestimmt mit den einzelnen geschabt wurde.
"Aufgrund der schieren Menge an persönlichen Informationen enthalten, mit der Komplexität kombiniert, um die Dateneigentümer zu identifizieren, Dies hat das Potenzial, Fragen über die Wirksamkeit unserer aktuellen Datenschutz und Breach Notification Gesetze zu erheben,“Data Viper abgeschlossen.