Na webu byly zveřejněny osobní údaje 35 milionů obyvatel USA: zpráva
Tajemná marketingová databáze obsahující osobní údaje odhadem 35 milionů lidí byla odhalena na webu bez hesla, hlásí výzkumníci Comparitech. Databáze obsahovala jména, kontaktní informace, adresy domů, etnické skupiny a množství demografických informací od koníčků a zájmů po nákupní zvyky a spotřebu médií.
Vzorek souborů prohlížených výzkumníky Comparitech ukázal, že většina záznamů se týkala obyvatel Chicaga, Los Angeles a San Diega a jejich okolních oblastí.
K databázi mohl v plném rozsahu přistupovat kdokoli s webovým prohlížečem a připojením k internetu. Informace v databázi by mohly být použity pro cílené spamové a podvodné kampaně a phishing. Ohrožuje také soukromí lidí, kteří si nepřejí zveřejňovat své osobní údaje, včetně adresy a/nebo kontaktních údajů.
Časová osa expozice
Bob Diachenko, vedoucí výzkumného týmu kybernetické bezpečnosti společnosti Compariech, objevil databázi 26. června 2021. Nevíme, jak dlouho byla předtím vystavena.
Po vynaložení všech prostředků, které jsme měli k dispozici, jsme nebyli schopni identifikovat vlastníka databáze. Diachenko se uchýlil ke kontaktování Amazon Web Services, které hostovaly server databáze, a požádal o její odstranění.
Data byla dostupná do 27. července 2021.
Celkem byly informace vystaveny minimálně měsíc. Naše experimenty s honeypotem ukazují, že kyberzločinci mohou najít a přistupovat k nezabezpečeným databázím, jako je tato otázkou hodin .
Jaká data byla vystavena?
Databáze Elasticsearch byla hostována na webových službách Amazon a byla přístupná prostřednictvím veřejně přístupného rozhraní Kibana, které pro přístup nevyžadovalo žádné ověřování. Celkem obsahoval více než 35 milionů záznamů. Každý z těchto záznamů obsahoval všechny nebo některé z následujících informací:
- Celé jméno
- Domovní adresa
- Datum narození
- Telefonní číslo
- Emailová adresa
- Etnická příslušnost
- Rod
- Stav
- obsazení
- Kategorická demografická data. Jedná se o ukazatele subjektu údajů:
- zájmy (automobily, víno, pletení atd.)
- spotřeba médií (PC hráč, předplatitel satelitní TV, posluchač audioknih atd.)
- odhadovaný příjem
- odhadované čisté jmění
- vlastnictví domácího mazlíčka
- informace o nemovitosti (odhadovaná hodnota domu, datum nákupu, má bazén atd.)
- životní styl (atletický, dobře zajištěný, high-tech atd.)
- nákupní návyky (úroveň kreditních karet, nákup šperků, počet úvěrových linek atd.)
- přidružení (typy charitativních organizací, politická strana atd.)
Záznam každé osoby obsahuje 268 polí informací, takže je zde nebudeme všechny probírat.
Zdá se, že většina subjektů údajů jsou obyvatelé Illinois a Kalifornie, i když několik je spojeno s okolními státy. Comparitech kontaktoval malý počet subjektů údajů pomocí zveřejněných jmen a telefonních čísel, aby ověřil, že informace v databázi jsou pravé.
Každý záznam v databázi obsahuje také osmi nebo devítimístné ID číslo. Na první pohled se některá z nich jeví jako čísla sociálního pojištění, ale po dalším vyšetřování už tomu tak nevěříme. Přesto stále vyzýváme obyvatele okresu DuPage, aby chybovali na straně opatrnosti a hlásili jakékoli případy pokusu o krádež identity FTC .
V databázi nebyly žádné finanční informace ani hesla.
Kde se data vzala?
Nevíme.
Nepodařilo se nám odhalit žádné důkazy, které by ukazovaly, komu data patří. Organizace, které jsme oslovili jako pravděpodobní vlastníci, popřely, že by jim data patřila. Naším jediným vodítkem je, že časové pásmo hostitelského serveru je nastaveno na Kalkata, Indie.
Časová razítka v databázi naznačují, že informace se začaly shromažďovat již v roce 2010. Stávající informace byly aktualizovány a nové informace přidány teprve v květnu 2021.
Údaje byly s největší pravděpodobností určeny pro marketingové účely.
Významná část záznamů obsahuje pole nazvané „zdrojová doména“, které může naznačovat původ informací. Pole často obsahovalo domény webových stránek, kde mohla být data původně sklizena. Webové stránky byly často riskantní, ne-li přímo podvody: pronajímané domy, dárky pro plavby, peněžní zálohy, hotovostní sázky atd. Zdá se tedy pravděpodobné, že jde o marketingovou databázi spamu nebo podvodu.
Ale co se týče identity osoby nebo organizace, která shromáždila všechna data a nakonec je zveřejnila na webu, nevíme.
Nebezpečí vystavených informací
Kombinace demografických údajů spolu s kontaktními údaji je pro spammery a podvodníky zlatým dolem. Tyto informace mohou použít ke kontaktování obětí pomocí personalizovaných e-mailů, textových zpráv a hovorů. Obyvatelé Chicaga, Los Angeles a San Diega by si měli dávat pozor na podvody a phishingové programy.
Nikdy neklikejte na odkaz v nevyžádaném e-mailu a před poskytnutím jakýchkoli osobních nebo finančních údajů vždy ověřte identitu odesílatele.
Tyto informace také ohrožují soukromí lidí, kteří si nepřejí zveřejňovat svá jména, kontaktní údaje a adresy: oběti domácího násilí, imigranti bez dokladů, soudci, právníci a bývalí zločinci, abychom jmenovali alespoň některé.
Proč jsme nahlásili tento datový incident
Výzkumný tým společnosti Comparitech pro kybernetickou bezpečnost běžně prohledává internet a hledá nechráněné databáze obsahující osobní údaje. Když najdeme odhalenou databázi, okamžitě začneme zkoumat, kdo je za ni zodpovědný, kdo může být ovlivněn, jaká data jsou vystavena a potenciální dopad na koncové uživatele.
Poté, co zjistíme, kdo je za data odpovědný, okamžitě je upozorníme v souladu s našimi zásadami odpovědného zveřejňování. Jakmile budou data zabezpečena a naše vyšetřování dokončeno, publikujeme článek jako tento, abychom zvýšili povědomí a omezili poškozování koncových uživatelů. V tomto případě jsme poté, co se nepodařilo identifikovat vlastníka, upozornili poskytovatele hostingu Amazon Web Services, který majitele kontaktoval naším jménem.
Předchozí zprávy o datových incidentech
Comparitech našel a nahlásil několik datových incidentů, jako je tento, včetně:
- Společnost zabývající se kybernetickou bezpečností odhalila 5 miliard záznamů z předchozích úniků dat
- Britský dodavatel softwaru pro plyn odhalil 3,6 milionu e-mailových adres zákazníků
- Indická vízová agentura zpřístupňuje na webu 6 500 žádostí o cestovní víza
- Testovací služba na COVID-19 v Utahu odhaluje průkazy totožnosti s fotografií a osobní údaje 50 000 pacientů
- Marketingová služba prodejce automobilů Friendemic odhalila 2,7 milionu spotřebitelských záznamů
- Síť tělocvičen Town Sports odhaluje 600 000 záznamů členů a zaměstnanců
- Vězeňská telefonní služba Telmate odhaluje zprávy, osobní informace milionů vězňů
- Zprostředkovatel dat sociálních médií odhaluje téměř 235 milionů seškrábaných profilů
- UFO VPN odhaluje miliony protokolů včetně uživatelských hesel
- Bylo porušeno 42 milionů íránských „Telegramových“ telefonních čísel a uživatelských ID
- Unikly podrobnosti o téměř 8 milionech britských online nákupů
- 250 milionů záznamů zákaznické podpory společnosti Microsoft bylo vystaveno online
- Na fóru hackerů bylo zveřejněno více než 260 milionů přihlašovacích údajů k Facebooku
- Unikly téměř 3 miliardy e-mailových adres, z nichž mnohé měly odpovídající hesla
- Podrobné informace o 188 milionech lidí byly uloženy v nezabezpečené databázi
- Uniklo více než 2,5 milionu záznamů zákazníků CenturyLink