Na web unikla americká majetková a demografická databáze 200 milionů záznamů
Zveřejněná online databáze sestávající z přibližně 200 milionů záznamů obsahovala širokou škálu citlivých osobních a demografických údajů o obyvatelích a jejich nemovitostech. Byli identifikováni majitelé domů a také informace o jejich úvěrovém hodnocení, čistém jmění a příjmech a dalších podrobnostech. V tuto chvíli jsme nebyli schopni určit, kdo je vlastníkem databáze, která byla hostována na exponovaném serveru Google Cloud.
Bezpečnostní výzkumný tým Comparitech pod vedením Boba Diachenka objevil databázi a okamžitě podnikl kroky k identifikaci vlastníka. Když se Diachenko nepodařilo zjistit identitu vlastníka, upozornil Google. O více než měsíc později bez odezvy byl odhalený server konečně odpojen
Časová osa expozice
Od doby, kdy vyhledávače poprvé indexovaly databázi, do doby, kdy byla odstraněna, byla tato databáze vystavena déle než měsíc.
- 26. ledna 2020 – Databáze byla poprvé indexována vyhledávačem BinaryEdge
- 27. ledna 2020 – Diachenko našel odhalenou databázi a zahájil vyšetřování.
- 4. března 2020 – Server byl přepnut do režimu offline
Během doby, kdy jsme měli přístup k databázi, byla aktualizována novými údaji, což naznačuje, že obsažené informace jsou poměrně nedávné.
Nevíme, zda k těmto datům v době, kdy byla vystavena, měly přístup nějaké jiné neoprávněné strany. Nebyli jsme schopni kontaktovat osoby odpovědné za data za měsíc a více trvání expozice.
Jaká data unikla?
Největší část dat tvoří směs osobních, demografických a majetkových informací. Celkem se skládá z 201 162 598 záznamů.
Osobní identifikační údaje a demografické údaje zahrnovaly:
- název
- Adresa
- Emailová adresa
- Stáří
- Rod
- Etnická příslušnost
- Zaměstnanost
- Úvěrový rating
- Investiční preference
- Příjem
- Čisté jmění
Tyto záznamy mimo jiné uváděly, zda obyvatel kouří, hraje golf, cestuje, přispívá na charitu, má domácí mazlíčky, je veteránem, má kreditní kartu nebo jezdí na koni.
Každý záznam také obsahoval podrobné informace o majetku, včetně:
- Tržní hodnota
- Typ majetku
- Výše hypotéky, sazba, typ a věřitel
- Částka refinancování, sazba, typ a věřitel
- Předchozí majitelé
- Rok výroby
- Počet lůžek a koupelen
- Informace o vyměření daně
Všechna tato data byla obsažena v „mateřském“ indexu databáze. Našli jsme také menší index s údaji o službě bikesharing a další o hovorech místních hasičů.
Nebezpečí vystavených údajů
Podrobné osobní, demografické a majetkové informace obsažené v tomto datovém souboru jsou zlatým dolem pro spammery, podvodníky a kyberzločince, kteří provozují phishingové kampaně. Data umožňují zločincům nejen zaměřit se na konkrétní lidi, ale také vytvořit přesvědčivější zprávu.
Lze si představit mnoho využití dat. Je to cenné pro lidi v realitním byznysu i pro lidi, kteří vedou politické kampaně.
Bez ohledu na to, kdo data vlastní a kdo je dostane do rukou, pravděpodobně to pro dotčené lidi znamená více nevyžádané pošty, robotických hovorů a spamu.
Jak a proč jsme tuto expozici pokryli
Bezpečnostní výzkumný tým Comparitech hledá zranitelná data vystavená na webu. Při zjištění nezabezpečených osobních údajů neprodleně informujeme odpovědné osoby, aby bylo možné zajistit přístup.
Po odpovědném zveřejnění data prošetříme, abychom zjistili, kdo je dotčen a jaké osobní údaje jsou vystaveny. Jakmile budou data zabezpečena, zveřejníme zprávu, jako je tato, abychom zvýšili povědomí a zmírnili potenciální poškození koncových uživatelů.
Naším cílem je odvrátit negativní důsledky odhalených osobních údajů, jako je krádež identity a phishing.
Pomozte nám identifikovat vlastníky této databáze
Přestože databáze již není online, nepodařilo se nám identifikovat vlastníka. Upozornili jsme Google, že vystavená data byla hostována na serveru Google Cloud, takže nevíme, zda si vlastníci uvědomují jejich dohled.
Chceme vlastníka vyzvat, aby přezkoumal své postupy a zajistil, že v budoucnu data znovu nevystaví.
Která služba by mohla mít 200 milionů amerických zákazníků a podrobné demografické údaje tohoto druhu? Pokud nám můžete pomoci identifikovat tuto databázi nebo víte, kdo ji vlastní, kontaktujte nás.
Předchozí zprávy
Comparitech a Diachenko spolupracovali na několika zprávách o datových incidentech, které se týkají milionů lidí, včetně:
- Bylo odhaleno 250 milionů záznamů o zákaznických službách a podpoře společnosti Microsoft
- 267 milionů facebookových uživatelských ID a telefonních čísel zveřejněných online
- 2,7 miliardy odhalených e-mailových adres z převážně čínských domén, z nichž 1 milion obsahoval hesla
- Podrobné osobní záznamy 188 milionů lidí nalezených na webu
- 7 milionů studentských záznamů vystavených na K12.com
- 5 milionů osobních záznamů patřících do MedicareSupplement.com vystavených veřejnosti
- 2,8 milionu vystavených záznamů zákazníků CenturyLink
- Unikly záznamy zákazníků 700k Choice Hotels
“ rezidenční Havaj “ od Nan Fry s licencí pod CC BY-SA 2.0