Elasticsearch服务器超过12亿人个人数据大量披露

2020-03-20 10:43 标签: 服务器数据被披露

尽管这些数据是由合法经营的公司合法获取的,但其中涉及的安全和隐私问题却数不胜数。

一个开放的Elasticsearch服务器已经将超过12亿人的丰富资料暴露在开放的互联网上。

10月16日,研究人员BobDiachenko和VinnyTroia首次发现了这个数据库,它包含了超过4TB的数据。它包括从Facebook和LinkedIn等社交媒体来源获取的信息,再加上姓名、个人和工作电子邮件地址、电话号码、Twitter和Githuburl,以及数据代理(即专门支持定向广告的公司)通常可获得的其他数据。这些公司专门支持有针对性的广告、营销和信息服务。

总的来说,这些个人资料提供了一个360度的个人视图,包括他们的就业和教育历史。所有信息均不受保护,无需登录即可访问。

迪亚琴科(Diachenko)通过Twitter告诉Threatpost:"这是从B2B(企业对企业)潜在客户的公司列表中收集的全面数据集。"

如果被网络罪犯访问,这些数据(包括与每个人相关的数十个账户)可能被用于高效、有针对性的网络钓鱼攻击、商业电子邮件泄露和身份盗用等。

Mimecast网络犯罪部门负责人卡尔•威尔恩(CarlWearn)在电子邮件中表示:"这类信息对犯罪分子来说非常有用,它们可以作为黑客入侵大量相关账户的起点,同时也增加了伪造身份信息的可能性。""这些信息显然也为工业、政治和国家相关的间谍手段提供了一个不可思议的信息宝库,这次泄露的数据有多种恶意用途。"

对于受影响的消费者来说,补救也不是件轻松的事。

ZeroFOX威胁运营总监ZackAllen告诉Threatpost:"将诸如电话号码之类的信息暴露给电子邮件或社交帐户之类的个人帐户的数据泄露事件,与暴露支付信息的情况一样严重。""很幸运,有关付款信息,您可以更改信用卡或帐户密码。但是,如果此漏洞的受害者的电话号码和Facebook个人资料被泄露,该怎么办?更改运营商的电话号码可能会耗费您的运营商资金,您还必须使用新的电话号码以及所有的双因素帐户来更新所有联系人。"

数据代理源

Diachenko和Troia的调查发现,数据集来自两家独立的潜在客户公司,其业务是收集个人的高度详细的个人资料:人民数据实验室(PDL)和OxyData[io]。

研究人员上周五在一份报告中写道:"大部分数据涵盖了四个独立的数据索引,分别是'PDL'和'OXY',每个索引包含大约10亿人的信息。""数据库中的每个用户记录都被标记为'source'字段,分别匹配PDL或Oxy。"

在通知了这两家公司后,两家公司都表示问题服务器不属于他们。然而,数据显示确实如此。

研究人员解释说:"为了测试数据是否属于PDL,我们在他们的网站上创建了一个免费帐户,该帐户每月为用户提供1,000个免费人员查找。""在开放的Elasticsearch服务器上发现的数据几乎与PeopleDataLabsAPI返回的数据完全匹配。为了确认,我们随机测试了50个其他用户,结果始终一致。"

与此同时,OxyData向Diachenko发送了一份他的个人资料,数据字段也匹配上了。

研究人员表示,他们不确定如何在现已关闭的数据库中收集数据。他们想知道是否可以同时成为PDL和OxyData的客户?还是数据被黑客窃取并放置在存储桶中?关于服务器所有者的唯一线索是IP地址(35.199.58.125),该地址由GoogleCloud托管。

责任和隐私问题

虽然该事件本身并不是数据泄露(而是另一个服务器配置错误的事),但它带来了两个不同的问题。首先,数据创建者(PDL和OxyData)对其个人资料被公开的人有什么责任?第二,即使这些信息是来自所谓的公共来源,从隐私的角度来看,这种"数据丰富"又意味着什么?

对于第一个问题,RiskRecon的首席执行官凯利•怀特(KellyWhite)认为,领先一代的公司将面临风险。

她通过电子邮件说:"数据……可以轻松,完美地复制。""资产存在的每个位置都必须知道并受到保护。这就要求敏感数据的提供者充分了解他们的客户,以及他们将出于何种目的使用这些数据。监管机构越来越多地要求敏感数据的原始聚合者负责保护敏感信息,无论这些信息存储在何处或与谁共享。因此,尽管此数据的创建者可能尚未遭到破坏,但他们很可能会遭受打击。"

迪亚琴科持类似观点:"有人可以辩称,由于PDL的数据被误用,应由他们来通知客户。"

第二个问题是,围绕丰富个人资料的隐私隐含性仍然是讨论的源头。Diachenko和Troia在其帖子中指出:"关于一个人的汇总信息可以包括诸如家庭人数,财务和收入,政治和宗教偏好,甚至一个人喜欢的社交活动等信息。"

令人担忧的是,其中一些信息可能来自绝对不公开的来源。例如,为Diachenko的资料返回的其中一个电话号码是一个旧的固定电话,它是AT&T电视套餐的一部分。他说:"固定电话从来没有使用过,也从来没有给过任何人——我从来没有真正拥有过电话,但不知怎么的,这些信息出现在我的资料中。"

滥用此类配置文件的最著名例子是,其中Facebook允许第三方应用程序将多达5000万平台用户的数据移交给公司。然后将其与其他数据结合,以创建非常详细的配置文件,特朗普竞选团队该配置文件通过2016年选举信息。

Diachenko指出,这种数据丰富性的最新发现表明,即使在CambridgeAnalytica之后,隐私保护措施仍未取得进展。

他说:"由于所包含的个人信息数量巨大,再加上识别数据所有者的复杂性,这可能对我们当前的隐私和违规通知法的有效性提出质疑。"

Mimecast的Wearn表示同意:"这一特别的违规行为凸显了发生在个人细节方面的交易,以及这种常态化和相对不受控制的做法所固有的风险。""由于其规模庞大,这无疑会增加在个人数据存储方面加强监管和安全的呼声。"

热门文章 最严重的黑客攻击,网络攻击和数据泄露 日本三菱电机称其在华服务器遭黑客攻击 或致泄密 马云的“守护神”,每天拦下20亿次黑客攻击! 防御DDoS攻击的五种方法 5g服务器优势特点详解
行业资讯 Industry Information

关于我们

About Us