最近、セキュリティ研究者によって新たな大規模なデータ侵害が発見されました. どうやら, 10月に 16, 2019 DataViperのセキュリティ研究者であるBobDiachenkoとVinnyTroiaは、「前例のない 4 以上にまたがる10億のユーザーアカウント 4 テラバイトのデータ.」
このサーバーには、認証を必要とせずにアクセスできました, 以上のデータを公開しました 1.2 十億のユニークな個人. これにより、 データ侵害 これまでのところ、単一のソースからの最大のデータ漏洩の1つ.
の情報 1.2 暴露された10億人の個人
公開された情報を含むElasticSearchサーバーは保護されておらず、次のWebブラウザからアクセスできました。 https://35.199.58.125:9200, 研究者は言った, データを保護するためのパスワードや認証の形式が設定されていないことを追加します.
Elasticsearchはその情報をインデックスに保存することに注意してください, これはデータベースに似ています. スパンされたデータのほとんど 4 個別のデータインデックス, 「PDL」および「OXY」というラベルが付いています, おおよその情報で 1 インデックスあたり10億人. 各ユーザーレコードには、ソースフィールドとしてこれら2つのラベルのいずれかが含まれていました.
DataViperによるデータの分析に基づく, これで、PDLインデックスのデータがPeopleDataLabsからのものであると想定しても安全です。, これはデータアグリゲーターおよびエンリッチメント会社です.
研究者はほぼ重複を取り除いた 3 十億人のデータラボ (PDL) ユーザーの記録と発見 1.2 十億のユニークな人々と 650 百万の一意のメールアドレス. これらの数値は、PeopleDataLabsのWebサイトで提供されている統計に対応しています。.
“3つの異なるPDLインデックス内のデータもわずかに異なります, 削り取られたLinkedIN情報に焦点を当てたものもあります, メールアドレスと電話番号, 他のインデックスは、個人のFacebookなどの個々のソーシャルメディアプロファイルに関する情報を提供しました, ツイッター, およびGithubのURL,” レポートによると.
PDLアプリケーションを使用してより多くの検索を実行できることは注目に値します 1.5 数十億のユニークな人々と個人の住所, メールアドレス, LinkedInのURL, と電話番号.
オープンなElasticsearchサーバーで検出されたデータは、People DataLabsAPIによって返されるデータとほぼ完全に一致していました。. 唯一の違いは、PDLによって返されるデータには、教育履歴も含まれていることです。. サーバーからダウンロードしたデータには教育情報がありませんでした. 他のすべてはまったく同じでした, 複数のメールアドレスと複数の電話番号を持つアカウントを含む.
「OXY」のラベルが付いたデータは, 分析により、研究者はOxyData.ioにたどり着きました, これはデータ強化会社でもあります. 「OxyDataのウェブサイトは4TBのユーザーデータを持っていると主張しています (正確に発見された量), だけ 380 百万人のプロフィール,」レポートは言った. このデータのほとんどはLinkedInから取得されました, 採用担当者の詳細を含む. 研究者はOxyDataに連絡し、サーバーが彼らのものではないことを発見しました.
同社は、研究者がプロファイルをテストおよび比較できるように、APIへのアクセスを許可することを拒否しました. でも, 会社は研究者自身の記録のコピーを送った, また、LinkedInから削除され、個人と一致していることも確認されました.
「「含まれる個人情報の量が非常に多いため, データ所有者を特定する複雑さを組み合わせる, これにより、現在のプライバシーおよび違反通知法の有効性について疑問が生じる可能性があります。,」データバイパー 結論.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: