ИБ-эксперты Боб Дьяченко (Bob Diachenko) и Винни Троя (Vinny Troia) обнаружили в открытом доступе сервер ElasticSearch, доступный без аутентификации, где хранились 4 терабайта данных: информация 4 миллиардов человек, из которых 1,2 миллиарда оказались уникальными пользователями.

Исследователи нашли на сервере имена, адреса электронной почты, номера телефонов и информацию профилей LinkedIn, Twitter, Facebook и так далее. Никакой конфиденциальной информации, вроде паролей и номеров банковских карт, на сервере не было, но Троя отмечает, что ранее никогда не видел единой базы того размера.

Изучая обнаруженные данные, специалисты пришли к выводу, что информация принадлежала компаниям People Data Labs и OxyData, которые являются брокерами данных. Фактически, база представляла собой постоянно обновляемые данные, агрегированные из различных источников.

К примеру, анализ почти трех миллиардов записей о пользователях с индексом PDL, выявил информацию примерно о 1,2 млрд уникальных людей, а также о 650 миллионах уникальных адресов электронной почты. Эти цифры не только соответствуют официальной статистике с сайта People Data Labs, но также исследователи сумели подтвердить, что информация на незащищенном сервере практически идентична данным API People Data Labs.

Впрочем, общаясь с журналистами Wired, представители People Data Labs и подчеркнули, что проблемный сервер принадлежал не и их компаниям, и от взломов и утечек они так же не страдали.

Исследователям так и не удалось установить, кому именно принадлежали 4 терабайта данных. Троя считает, что People Data Labs и Oxydata вряд ли взломали, ведь куда проще было попросту приобрести эти данные у компаний легально. Скорее всего, один из клиентов брокеров данных не защитил свой сервер надлежащим образом, и, по мнению экспертов, это свидетельствует о серьезных проблемах с безопасностью и конфиденциальностью, присущих этому бизнесу. Ведь подобные гигантские базы могут являться прекрасной отправной точкой для злоумышленников, чья цель, к примеру, выдать себя за другого человека или угнать чужую учетную запись. Сделать это намного проще, когда на руках уже есть имена, номера телефонов, email-адреса и URL-адреса соответствующих профилей.

4 комментария

  1. Аватар

    Jeffrey Davis

    26.11.2019 at 10:33

    Всё хорошо. База юзеров всего Интернета должна быть достоянием человечества.

  2. Аватар

    coolmarat

    26.11.2019 at 16:01

    где же ссылка? хочу проверить, нет ли там моих данных

  3. Аватар

    Dmitry Morozov

    27.11.2019 at 03:47

    А ещё с такой базой можно к примеру делать GDPR запросы по восстановлению данных/паролей

  4. Аватар

    mrbeleweder

    27.11.2019 at 23:06

    Да все собирают данные , хранят , продают и прочее. Зачем об это писать если никто ничего не сделает.

Оставить мнение