ИБ-эксперты Боб Дьяченко (Bob Diachenko) и Винни Троя (Vinny Troia) обнаружили в открытом доступе сервер ElasticSearch, доступный без аутентификации, где хранились 4 терабайта данных: информация 4 миллиардов человек, из которых 1,2 миллиарда оказались уникальными пользователями.
Исследователи нашли на сервере имена, адреса электронной почты, номера телефонов и информацию профилей LinkedIn, Twitter, Facebook и так далее. Никакой конфиденциальной информации, вроде паролей и номеров банковских карт, на сервере не было, но Троя отмечает, что ранее никогда не видел единой базы того размера.
Изучая обнаруженные данные, специалисты пришли к выводу, что информация принадлежала компаниям People Data Labs и OxyData, которые являются брокерами данных. Фактически, база представляла собой постоянно обновляемые данные, агрегированные из различных источников.
К примеру, анализ почти трех миллиардов записей о пользователях с индексом PDL, выявил информацию примерно о 1,2 млрд уникальных людей, а также о 650 миллионах уникальных адресов электронной почты. Эти цифры не только соответствуют официальной статистике с сайта People Data Labs, но также исследователи сумели подтвердить, что информация на незащищенном сервере практически идентична данным API People Data Labs.
Впрочем, общаясь с журналистами Wired, представители People Data Labs и подчеркнули, что проблемный сервер принадлежал не и их компаниям, и от взломов и утечек они так же не страдали.
Исследователям так и не удалось установить, кому именно принадлежали 4 терабайта данных. Троя считает, что People Data Labs и Oxydata вряд ли взломали, ведь куда проще было попросту приобрести эти данные у компаний легально. Скорее всего, один из клиентов брокеров данных не защитил свой сервер надлежащим образом, и, по мнению экспертов, это свидетельствует о серьезных проблемах с безопасностью и конфиденциальностью, присущих этому бизнесу. Ведь подобные гигантские базы могут являться прекрасной отправной точкой для злоумышленников, чья цель, к примеру, выдать себя за другого человека или угнать чужую учетную запись. Сделать это намного проще, когда на руках уже есть имена, номера телефонов, email-адреса и URL-адреса соответствующих профилей.