SEM CATEGORIA, TECNOLOGIA

Mistérios misturam despejo de dados pessoais de mais de 1 bilhão de pessoas

Dois detetives de segurança descobriram no mês passado uma enorme quantidade de dados deixados expostos em um servidor. Os dados encontrados no servidor pertenciam a cerca de 1,2 bilhão de pessoas.

Kartikay Mehrotra escreveu sobre isso na sexta-feira para a Bloomberg, em uma história, junto com uma da Wired , que era frequentemente citada no fim de semana. Os dados foram deixados desprotegidos em um servidor do Google Cloud.

O FBI foi contatado e o servidor foi desligado. Não é trivial. Wired se refere à situação como um vazamento de dados “jumbo”. A Wired disse que as informações estavam expostas e facilmente acessíveis em um servidor não seguro.

Os dados deixados desprotegidos eram na verdade um banco de dados, agregando 1,2 bilhão de informações pessoais dos usuários , por exemplo, contas de mídia social , endereços de email e números de telefone.

O incidente foi retransmitido no blog Data Viper .

“Em 16 de outubro de 2019, Bob Diachenko e Vinny Troia descobriram um servidor Elasticsearch aberto, contendo 4 bilhões de contas de usuários sem precedentes, abrangendo mais de 4 terabytes de dados. Uma contagem total de pessoas únicas em todos os conjuntos de dados atingiu mais de 1,2 bilhão de pessoas. “

Eles faziam apenas uma varredura de rotina em busca de dados desprotegidos e foi quando o tesouro foi descoberto. O FBI foi contatado.

Aparecendo em uma entrevista da Bloomberg, Troia, fundador do Data Viper, elaborou a descoberta. “Para ser sincero, isso era apenas parte de nosso processo normal de pesquisa, em que estávamos apenas olhando através de servidores da Web abertos para procurar por bancos de dados com informações potencialmente valiosas, e meio que nos deparamos com isso”.

Os 4 terabytes de informações pessoais, cerca de 1,2 bilhão de registros, não incluem senhas, números de cartão de crédito ou números do Seguro Social, disse Lily Hay Newman, da Wired .

Ela soletrou o que revelou. “Ele contém perfis de centenas de milhões de pessoas que incluem números de telefone residencial e celular, perfis de mídia social associados como Facebook, Twitter, LinkedIn e Github, históricos de trabalho aparentemente retirados do LinkedIn, quase 50 milhões de números de telefone exclusivos, e 622 milhões de endereços de email exclusivos “.

Bloomberg citou Troia. “Não há senhas relacionadas a esses dados, mas ter um novo conjunto de senhas não é mais emocionante. Ter todo esse material de mídia social em um só lugar é uma arma útil e uma ferramenta de investigação”.

Afinal, apenas pegar nomes, números de telefone e URLs da conta fornece informações amplas para iniciar os invasores.

Harrison Van Riper, analista da empresa de segurança Digital Shadows, fez uma observação semelhante na Wired . “Van Riper observa que, embora senhas, números de cartão de crédito e IDs do governo sejam as informações mais obviamente ameaçadoras para os golpistas, é importante não subestimar a importância de todos os dados de suporte que ajudam a criar perfis de consumidores”.

Quem possuía o servidor? Não está claro como os registros chegaram lá, em primeiro lugar, disse Wired . Os dados que Troia descobriu pareciam ser quatro conjuntos de dados. Bem-vindo ao mundo daqueles que abusam do “enriquecimento de dados”.

Jacob J, no International Business Times, observou um “cenário de negócios de enriquecimento de dados muito desprotegido e não regulamentado”. Os conjuntos de dados pareciam se originar de diferentes empresas de enriquecimento de dados.

Cory Doctorow, em Boing Boing, também ficou em branco: “Ninguém sabe quem é o dono do Google Cloud, que expôs 1,2 bilhão de registros de usuários”, escreveu ele. Doctorow explicou que corretores de dados como o People Data Labs e o Oxydata “podem simplesmente ter vendido os dados a um cliente que executou a operação de mesclagem e depois prender os arquivos resultantes em um servidor não protegido”.

“O proprietário desse servidor provavelmente usou um de nossos produtos de enriquecimento, juntamente com vários outros serviços de enriquecimento de dados ou de licenciamento”, disse Sean Thorne, co-fundador do People Data Labs, no relatório da Wired .

Então, de quem é a trilha para descobrir como os dados foram expostos? Especialistas disseram boa sorte com isso.

“A identificação de servidores expostos / sem nome é uma das partes mais difíceis de uma investigação. Nesse caso, tudo o que podemos dizer do endereço IP … é que ele é (ou foi) hospedado no Google Cloud”, afirmou o Data. Blog Viper. “Por causa de preocupações óbvias de privacidade, os provedores de nuvem não compartilharão nenhuma informação sobre seus clientes, tornando isso um beco sem saída”.

Robert Prigge, presidente da Jumio, discutiu a notícia com o Digital Journal :

“Vivemos em uma época em que as informações de violações de dados desconectadas, bem como empresas legítimas de venda de dados, são frequentemente combinadas para criar perfis de identidade abrangentes na dark web, incorporando tudo, desde informações pessoais identificáveis, histórico de tarefas até preferências de compras, perfis de namoro e muito mais. O nível profundo de informações disponíveis é assustador e torna extremamente fácil para os criminosos cometerem fraudes de identidade digital de várias maneiras diferentes “.