Προσωπικά στοιχεία 35 εκατομμυρίων κατοίκων των ΗΠΑ εκτίθενται στον Ιστό: αναφορά

Μια μυστηριώδης βάση δεδομένων μάρκετινγκ που περιείχε τα προσωπικά στοιχεία περίπου 35 εκατομμυρίων ανθρώπων εκτέθηκε στον Ιστό χωρίς κωδικό πρόσβασης, αναφέρουν ερευνητές της Comparitech. Η βάση δεδομένων περιελάμβανε ονόματα, στοιχεία επικοινωνίας, διευθύνσεις κατοικίας, εθνότητες και πληθώρα δημογραφικών πληροφοριών που κυμαίνονταν από χόμπι και ενδιαφέροντα μέχρι συνήθειες αγορών και κατανάλωση μέσων.

Το δείγμα αρχείων που είδαν οι ερευνητές της Comparitech έδειξε ότι η πλειονότητα των αρχείων αφορούσε κατοίκους του Σικάγο, του Λος Άντζελες και του Σαν Ντιέγκο και των γύρω περιοχών τους.

Η πρόσβαση στη βάση δεδομένων θα μπορούσε να είναι πλήρης από οποιονδήποτε διαθέτει πρόγραμμα περιήγησης και σύνδεση στο Διαδίκτυο. Οι πληροφορίες στη βάση δεδομένων θα μπορούσαν να χρησιμοποιηθούν για στοχευμένες καμπάνιες ανεπιθύμητης αλληλογραφίας και απάτης και phishing. Απειλεί επίσης το απόρρητο των ατόμων που δεν θέλουν να δημοσιοποιηθούν τα προσωπικά τους στοιχεία, συμπεριλαμβανομένης της διεύθυνσης ή/και των στοιχείων επικοινωνίας.

Χρονοδιάγραμμα της έκθεσης

Ο Bob Diachenko, επικεφαλής της ερευνητικής ομάδας κυβερνοασφάλειας της Compariech, ανακάλυψε τη βάση δεδομένων στις 26 Ιουνίου 2021. Δεν γνωρίζουμε πόσο καιρό είχε εκτεθεί πριν.

Αφού δαπανήσαμε όλα τα μέσα που είχαμε στη διάθεσή μας, δεν μπορέσαμε να αναγνωρίσουμε τον ιδιοκτήτη της βάσης δεδομένων. Ο Diachenko κατέφυγε στην επικοινωνία με τις υπηρεσίες Web της Amazon, που φιλοξενούσε τον διακομιστή της βάσης δεδομένων, για να ζητήσει την κατάργησή του.

Τα δεδομένα ήταν προσβάσιμα μέχρι τις 27 Ιουλίου 2021.

Συνολικά, οι πληροφορίες ήταν εκτεθειμένες για τουλάχιστον ένα μήνα. Τα πειράματά μας στο honeypot δείχνουν ότι οι εγκληματίες του κυβερνοχώρου μπορούν να βρουν και να αποκτήσουν πρόσβαση σε μη ασφαλείς βάσεις δεδομένων όπως αυτή θέμα ωρών .

Ποια δεδομένα αποκαλύφθηκαν;

Η βάση δεδομένων Elasticsearch φιλοξενήθηκε στις υπηρεσίες Web της Amazon και ήταν προσβάσιμη μέσω μιας δημόσιας διεπαφής Kibana που δεν απαιτούσε έλεγχο ταυτότητας για πρόσβαση. Περιείχε περισσότερους από 35 εκατομμύρια δίσκους συνολικά. Κάθε μία από αυτές τις εγγραφές περιείχε όλες ή μερικές από τις ακόλουθες πληροφορίες:

• Πλήρες όνομα
• Διεύθυνση σπιτιού
• Ημερομηνία γέννησης
• Τηλεφωνικό νούμερο
• Διεύθυνση ηλεκτρονικού ταχυδρομείου
• Εθνότητα
• Γένος
• Οικογενειακή κατάσταση
• Κατοχή
• Κατηγορικά δημογραφικά στοιχεία. Αυτοί είναι δείκτες του υποκειμένου των δεδομένων:
  • ενδιαφέροντα (αυτοκίνητα, κρασί, πλέξιμο, κ.λπ.)
  • κατανάλωση πολυμέσων (PC gamer, συνδρομητής δορυφορικής τηλεόρασης, ακουστικός ακρόασης βιβλίων κ.λπ.)
  • εκτιμώμενο εισόδημα
  • εκτιμώμενη καθαρή θέση
  • ιδιοκτησία κατοικίδιων ζώων
  • πληροφορίες ιδιοκτησίας (εκτιμώμενη αξία κατοικίας, ημερομηνία αγοράς, διαθέτει πισίνα κ.λπ.)
  • τρόπος ζωής (αθλητικός, ευκατάστατος, υψηλή τεχνολογία κ.λπ.)
  • αγοραστικές συνήθειες (βαθμίδα πιστωτικών καρτών, αγορά κοσμημάτων, αριθμός πιστωτικών γραμμών, κ.λπ.)
  • συνεργασίες (είδη φιλανθρωπικών οργανώσεων, πολιτικά κόμματα, κ.λπ.)

Το αρχείο κάθε ατόμου περιέχει 268 πεδία πληροφοριών, επομένως δεν θα τα εξετάσουμε όλα εδώ.

Τα περισσότερα από τα υποκείμενα των δεδομένων φαίνεται να είναι κάτοικοι του Ιλινόις και της Καλιφόρνια, αν και υπάρχουν μερικά που συνδέονται με τις γύρω πολιτείες. Η Comparitech επικοινώνησε με ένα μικρό αριθμό υποκειμένων δεδομένων χρησιμοποιώντας τα εκτεθειμένα ονόματα και αριθμούς τηλεφώνου για να επαληθεύσει ότι οι πληροφορίες στη βάση δεδομένων ήταν αυθεντικές.

Κάθε εγγραφή στη βάση δεδομένων περιέχει επίσης έναν οκταψήφιο ή εννεαψήφιο αριθμό ταυτότητας. Με την πρώτη ματιά, ορισμένοι από αυτούς φαίνεται να είναι Αριθμοί Κοινωνικής Ασφάλισης, αλλά μετά από περαιτέρω έρευνα δεν πιστεύουμε πλέον ότι ισχύει. Παρόλα αυτά, παροτρύνουμε τους κατοίκους της κομητείας DuPage να είναι προσεκτικοί και να αναφέρουν τυχόν περιστατικά απόπειρας κλοπής ταυτότητας στο η FTC .

Δεν υπήρχαν οικονομικές πληροφορίες ή κωδικοί πρόσβασης στη βάση δεδομένων.

Από πού προήλθαν τα δεδομένα;

Δεν ξέρουμε.

Δεν μπορέσαμε να αποκαλύψουμε κανένα στοιχείο που να δείχνει σε ποιον ανήκουν τα δεδομένα. Οι οργανισμοί που προσεγγίσαμε ως πιθανοί ιδιοκτήτες αρνήθηκαν ότι τα δεδομένα ανήκαν σε αυτούς. Η μόνη μας ένδειξη είναι ότι η ζώνη ώρας του διακομιστή φιλοξενίας έχει οριστεί στην Καλκούτα της Ινδίας.

Οι χρονικές σημάνσεις στη βάση δεδομένων υποδεικνύουν ότι οι πληροφορίες άρχισαν να συλλέγονται ήδη από το 2010. Οι υπάρχουσες πληροφορίες ενημερώθηκαν και προστέθηκαν νέες πληροφορίες μόλις τον Μάιο του 2021.

Τα δεδομένα πιθανότατα προορίζονταν για σκοπούς μάρκετινγκ.

Ένα σημαντικό μέρος των εγγραφών περιλαμβάνει ένα πεδίο που ονομάζεται 'πηγή τομέα' που μπορεί να υποδηλώνει την προέλευση των πληροφοριών. Το πεδίο συχνά περιείχε τομείς ιστοτόπων όπου τα δεδομένα θα μπορούσαν να είχαν αρχικά συγκεντρωθεί. Οι δικτυακοί τόποι ήταν συχνά απάτες, αν όχι ξεκάθαρες απάτες: ενοικίαση κατοικιών, δώρα κρουαζιέρας, προκαταβολές χρημάτων, κληρώσεις μετρητών, κ.λπ. Επομένως, φαίνεται εύλογο ότι πρόκειται για μια βάση δεδομένων μάρκετινγκ ανεπιθύμητης αλληλογραφίας ή απάτης.

Ωστόσο, δεν γνωρίζουμε την ταυτότητα του ατόμου ή του οργανισμού που συγκέντρωσε όλα τα δεδομένα και τα εξέθεσε τελικά στον ιστό.

Κίνδυνοι από εκτεθειμένες πληροφορίες

Ο συνδυασμός δημογραφικών δεδομένων μαζί με στοιχεία επικοινωνίας είναι ένα χρυσωρυχείο για τους spammers και τους απατεώνες. Μπορούν να χρησιμοποιήσουν τις πληροφορίες για να επικοινωνήσουν με τα θύματα με εξατομικευμένα μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα κειμένου και κλήσεις. Οι κάτοικοι του Σικάγο, του Λος Άντζελες και του Σαν Ντιέγκο θα πρέπει να είναι σε επιφυλακή για απάτες και συστήματα phishing.

Ποτέ μην κάνετε κλικ σε έναν σύνδεσμο σε ένα ανεπιθύμητο μήνυμα ηλεκτρονικού ταχυδρομείου και επαληθεύετε πάντα την ταυτότητα του αποστολέα προτού παρέχετε οποιαδήποτε προσωπική ή οικονομική πληροφορία.

Οι πληροφορίες απειλούν επίσης το απόρρητο των ατόμων που δεν θέλουν να δημοσιοποιηθούν τα ονόματά τους, τα στοιχεία επικοινωνίας και οι διευθύνσεις τους: θύματα ενδοοικογενειακής κακοποίησης, μετανάστες χωρίς έγγραφα, δικαστές, δικηγόροι και πρώην εγκληματίες, για να αναφέρουμε μερικά.

Γιατί αναφέραμε αυτό το περιστατικό δεδομένων

Η ερευνητική ομάδα κυβερνοασφάλειας της Comparitech σαρώνει τακτικά το Διαδίκτυο για μη προστατευμένες βάσεις δεδομένων που περιέχουν προσωπικές πληροφορίες. Όταν βρίσκουμε μια εκτεθειμένη βάση δεδομένων, αρχίζουμε αμέσως να διερευνούμε ποιος είναι υπεύθυνος για αυτήν, ποιος μπορεί να επηρεαστεί, ποια δεδομένα εκτίθενται και τον πιθανό αντίκτυπο στους τελικούς χρήστες.

Αφού εντοπίσουμε όποιον είναι υπεύθυνος για τα δεδομένα, τον ειδοποιούμε αμέσως σύμφωνα με την πολιτική υπεύθυνης αποκάλυψης. Μόλις διασφαλιστούν τα δεδομένα και ολοκληρωθεί η έρευνά μας, δημοσιεύουμε ένα άρθρο σαν αυτό για να αυξήσουμε την ευαισθητοποίηση και να περιορίσουμε τις βλάβες στους τελικούς χρήστες. Σε αυτήν την περίπτωση, αφού δεν καταφέραμε να αναγνωρίσουμε τον ιδιοκτήτη, ειδοποιήσαμε τον πάροχο φιλοξενίας Amazon Web Services, ο οποίος επικοινώνησε με τον ιδιοκτήτη για λογαριασμό μας.

Προηγούμενες αναφορές περιστατικών δεδομένων

Η Comparitech έχει βρει και έχει αναφέρει πολλά περιστατικά δεδομένων όπως αυτό, όπως:

• Η εταιρεία κυβερνοασφάλειας αποκαλύπτει 5 δισεκατομμύρια αρχεία από προηγούμενες παραβιάσεις δεδομένων
• Ο προμηθευτής λογισμικού British Gas αποκαλύπτει 3,6 εκατομμύρια διευθύνσεις email πελατών
• Το ινδικό γραφείο βίζας εκθέτει 6.500 αιτήσεις βίζας ταξιδιωτών στον Ιστό
• Η υπηρεσία δοκιμών για COVID-19 στη Γιούτα εκθέτει ταυτότητες με φωτογραφία 50.000 ασθενών, προσωπικές πληροφορίες
• Η υπηρεσία μάρκετινγκ αντιπροσώπων αυτοκινήτων Friendemic αποκαλύπτει 2,7 εκατομμύρια αρχεία καταναλωτών
• Η αλυσίδα γυμναστηρίου Town Sports εκθέτει 600.000 αρχεία μελών και προσωπικού
• Η τηλεφωνική υπηρεσία της φυλακής Telmate αποκαλύπτει μηνύματα, προσωπικές πληροφορίες εκατομμυρίων κρατουμένων
• Ο μεσίτης δεδομένων μέσων κοινωνικής δικτύωσης εκθέτει σχεδόν 235 εκατομμύρια προφίλ που έχουν αφαιρεθεί
• Το UFO VPN αποκαλύπτει εκατομμύρια αρχεία καταγραφής συμπεριλαμβανομένων των κωδικών πρόσβασης χρηστών
• Παραβιάστηκαν 42 εκατομμύρια ιρανικοί αριθμοί τηλεφώνου «Telegram» και αναγνωριστικά χρηστών
• Διέρρευσαν λεπτομέρειες για σχεδόν 8 εκατομμύρια ηλεκτρονικές αγορές στο Ηνωμένο Βασίλειο
• 250 εκατομμύρια αρχεία υποστήριξης πελατών της Microsoft εκτέθηκαν στο διαδίκτυο
• Περισσότερα από 260 εκατομμύρια διαπιστευτήρια του Facebook δημοσιεύτηκαν σε φόρουμ χάκερ
• Διέρρευσαν σχεδόν 3 δισεκατομμύρια διευθύνσεις email, πολλές με αντίστοιχους κωδικούς πρόσβασης
• Λεπτομερείς πληροφορίες για 188 εκατομμύρια ανθρώπους κρατήθηκαν σε μια μη ασφαλή βάση δεδομένων
• Διέρρευσαν πάνω από 2,5 εκατομμύρια αρχεία πελατών της CenturyLink