Крис Викери (Chris Vickery) буквально сделал себе имя на утечках данных. Именно Викери в последние годы обнаруживал утечки информации о миллионах американских и мексиканских избирателей, десятки тысяч уязвимых установок Mongo DB, секретные данные правительственных подрядчиков, свободно хранившиеся в облаках Amazon, и так далее.
На этот раз Викери, в настоящее время являющийся сотрудником компании UpGuard, рассказал о потенциальной утечке данных с серверов Dow Jones & Company — одного из ведущих мировых агентств финансовой информации, которому также принадлежит The Wall Street Journal.
Проблема была обнаружена еще в мае 2017 года, когда Викери нашел в AWS репозиторий под названием dj-skynet. Как оказалось, в облаке, доступные любому желающему, хранились данные 4 млн клиентов Dow Jones. Брешь была устранена лишь 6 июня 2017 года и возникла по вине сотрудников компании, неправильно настроивших доступ к серверу.
Среди хранящихся в AWS данных, были полные имена, ID клиентов, физические адреса, детали подписки, последние четыре цифры банковской карты, а в некоторых случаях и номера телефонов подписчиков The Wall Street Journal и Barron. Кроме того, специалист обнаружил на сервере информацию о деятельности Dow Jones Risk and Compliance — подразделения Dow Jones, занимающегося риск менеджментом и вопросами нормативно-правового соответствования.
Представители Dow Jones уже признали случившееся, однако в компании настаивают, что потенциальной компрометации подверглись данные двух миллионов пользователей, тогда как специалисты UpGuard насчитали 4,4 миллиона. Впрочем, исследователи признают, что могли не учесть дубли.
Как именно Dow Jones собирается уведомить пользователей о случившемся, пока неясно. Зато на страницах The Wall Street Journal представители компании попытались преуменьшить значимость инцидента, заявив, что у специалистов UpGuard нет никаких доказательств того, что какие-либо третьи стороны получили доступ к данным, и открытая всем желающим информация не представляла большой угрозы для пользователей. Исследователи парируют, что личные данные миллионов человек всегда могут пригодиться киберпреступникам для фишинга и осуществления других атак, с использованием социальной инженерии.
