Een nieuwe massale inbreuk werd onlangs ontdekt door security onderzoekers. Blijkbaar, in oktober 16, 2019 Gegevens Viper security onderzoekers Bob Diachenko en Vinny Troia ontdekte een grote open Elasticsearch server die bevatte “een ongekende 4 miljard user accounts van meer dan 4 terabytes aan gegevens."
Deze server is toegankelijk zonder de noodzaak van authenticatie, waarin de gegevens vermeld van meer dan 1.2 miljard unieke individuen. Dit maakt de datalek een van de grootste lekken van gegevens van een enkele bron tot nu toe.
Handige informatie 1.2 Miljard blootgestelde personen
De Elastic zoekserver dat de blootgestelde informatie was onbeschermd en toegankelijk via een webbrowser op https://35.199.58.125:9200, aldus de onderzoekers, toe te voegen dat er geen wachtwoord of enige vorm van authenticatie was op zijn plaats om de gegevens te beschermen.
Opgemerkt dient te worden dat Elasticsearch slaat zijn gegevens in een index, die vergelijkbaar is met een database. Het merendeel van de gegevens overspande 4 afzonderlijke gegevens indexen, label “PDL” en “OXY”, met informatie over ca. 1 miljard mensen per index. Elke gebruiker verslag had een van deze twee labels als een bron veld.
Op basis van de analyse van de gegevens gegevens Viper's, Het is nu veilig om te veronderstellen dat de gegevens in de PDL indices kwamen uit Mensen gegevens Labs, dat is een data-aggregator en verrijking bedrijf.
De onderzoekers gededupliceerd de bijna 3 miljard mensen gegevens Labs (PDL) gebruikerrecords en ontdekte 1.2 miljard unieke mensen en 650 miljoen unieke e-mailadressen. Deze cijfers komen overeen met de informatie die op de People gegevens Labs website statistics.
“De gegevens in de drie verschillende PDL indices ook enigszins varieerde, sommige gericht op geschraapt LinkedIN informatie, e-mailadressen en telefoonnummers, terwijl andere indexen verstrekt informatie over individuele social media profielen, zoals iemands Facebook, Tjilpen, en Github URLs,” aldus het rapport.
Het is opmerkelijk dat de PDL toepassing kan worden gebruikt om meer dan zoeken 1.5 miljard unieke mensen evenals persoonlijke adressen, e-mailadressen, LinkedIn URL's, en telefoonnummers.
De ontdekte op de open Elasticsearch server data was bijna een complete wedstrijd om de gegevens die worden geretourneerd door de People gegevens Labs API. Het enige verschil is de gegevens geretourneerd door de PDL bevatte ook onderwijs geschiedenissen. Er was geen informatie over het onderwijs in een van de gegevens van de server gedownload. Al het andere was precies hetzelfde, inclusief accounts met meerdere e-mailadressen en meerdere telefoonnummers.
Wat betreft de opdruk “OXY” data, een analyse leidde de onderzoekers tot OxyData.io, die ook een verrijking van gegevens bedrijf. “OxyData's website beweert 4 TB gebruikersgegevens hebben (precies het bedrag ontdekt), maar alleen 380 miljoen mensen profielen,”Aldus het rapport. De meeste van deze gegevens werd geschraapt van LinkedIn, waaronder recruiter gegevens. De onderzoekers gecontacteerd OxyData en ontdekte dat de server niet eens bij hen horen.
Het bedrijf weigerde die toegang geeft tot de API, zodat de onderzoekers kunnen testen en te vergelijken profielen. Echter, het bedrijf stuurde een kopie van eigen record van de onderzoeker, wat ook bevestigd dat het werd geschraapt van LinkedIn en afgestemd op de individuele.
"Vanwege de enorme hoeveelheid persoonlijke informatie opgenomen, gecombineerd met de complexiteit van de identificatie gegevenseigenaar, Dit heeft het potentieel om vragen over de effectiviteit van onze huidige privacy en de melding van inbreuken wetten tot hogere,”Data Viper gesloten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: