35 millioner amerikanske indbyggeres personlige oplysninger afsløret på nettet: rapport
En mystisk marketingdatabase, der indeholder personlige oplysninger om anslået 35 millioner mennesker, blev afsløret på nettet uden adgangskode, rapporterer Comparitech-forskere. Databasen indeholdt navne, kontaktoplysninger, hjemmeadresser, etniciteter og et væld af demografiske oplysninger lige fra hobbyer og interesser til indkøbsvaner og medieforbrug.
Prøven af filer, der blev set af Comparitech-forskere, viste, at et flertal af optegnelserne vedrørte indbyggere i Chicago, Los Angeles og San Diego og deres omkringliggende områder.
Databasen kunne tilgås fuldt ud af alle med en webbrowser og en internetforbindelse. Oplysningerne i databasen kunne bruges til målrettede spam- og svindelkampagner og phishing. Det truer også privatlivets fred for personer, der ikke ønsker deres personlige oplysninger, herunder adresse og/eller kontaktoplysninger, offentliggjort.
Tidslinje for eksponeringen
Bob Diachenko, leder af Compariechs cybersikkerhedsforskningshold, opdagede databasen den 26. juni 2021. Vi ved ikke, hvor længe den blev afsløret tidligere.
Efter at have brugt alle midler til vores rådighed, var vi ikke i stand til at identificere databasens ejer. Diachenko greb til at kontakte Amazon Web Services, som var vært for databasens server, for at anmode om, at den blev fjernet.
Dataene var tilgængelige indtil 27. juli 2021.
I alt blev oplysningerne blotlagt i mindst en måned. Vores honeypot-eksperimenter viser, at cyberkriminelle kan finde og få adgang til usikrede databaser som denne i et spørgsmål om timer .
Hvilke data blev afsløret?
Elasticsearch-databasen var hostet på Amazon Web Services og tilgængelig via en offentligt vendt Kibana-grænseflade, der ikke krævede godkendelse for adgang. Den indeholdt mere end 35 millioner poster i alt. Hver af disse poster indeholdt alle eller nogle af følgende oplysninger:
- Fulde navn
- Hjemme adresse
- Fødselsdato
- Telefonnummer
- Email adresse
- Etnicitet
- Køn
- Civilstand
- Beskæftigelse
- Kategoriske demografiske data. Disse er indikatorer for den registreredes:
- interesser (biler, vin, strikning osv.)
- medieforbrug (pc-spiller, satellit-tv-abonnent, lydbogslytter osv.)
- anslået indkomst
- anslået nettoformue
- kæledyrsejerskab
- ejendomsoplysninger (estimeret boligværdi, købsdato, har pool osv.)
- livsstil (atletisk, velstillet, højteknologisk osv.)
- købsvaner (kreditkortniveau, køb af smykker, antal kreditlinjer osv.)
- tilknytninger (typer af velgørende organisationer, politiske partier osv.)
Hver persons post indeholder 268 informationsfelter, så vi vil ikke gennemgå dem alle her.
De fleste af de registrerede ser ud til at være bosiddende i Illinois og Californien, selvom der er nogle få, der er knyttet til omkringliggende stater. Comparitech kontaktede et lille antal registrerede ved hjælp af de blotlagte navne og telefonnumre for at bekræfte, at oplysningerne i databasen var ægte.
Hver post i databasen indeholder også et otte- eller nicifret ID-nummer. Umiddelbart ser nogle af disse ud til at være personnumre, men efter yderligere undersøgelser mener vi ikke længere, at det er tilfældet. Ikke desto mindre opfordrer vi stadig indbyggerne i DuPage amt til at tage fejl af forsigtighed og rapportere alle tilfælde af forsøg på identitetstyveri til FTC .
Der var ingen økonomiske oplysninger eller adgangskoder i databasen.
Hvor kom dataene fra?
Vi ved det ikke.
Vi har ikke været i stand til at afdække nogen beviser, der peger på, hvem dataene tilhører. De organisationer, vi henvendte os som sandsynlige ejere, nægtede, at dataene tilhørte dem. Vores eneste fingerpeg er, at tidszonen for hostingserveren er indstillet til Kolkata, Indien.
Tidsstempler i databasen indikerer, at oplysningerne begyndte at blive indsamlet allerede i 2010. Eksisterende information blev opdateret og ny information tilføjet så sent som i maj 2021.
Dataene var højst sandsynligt beregnet til markedsføringsformål.
En betydelig del af registreringerne inkluderer et felt kaldet 'kildedomæne', der kan antyde oplysningernes oprindelse. Feltet indeholdt ofte webstedsdomæner, hvor dataene oprindeligt kunne være høstet. Hjemmesiderne var ofte risikable, hvis ikke direkte svindel: husleje-til-eje boliger, krydstogtgaver, pengeforskud, kontantkonkurrencer osv. Så det virker plausibelt, at dette er en spam- eller fidusmarkedsføringsdatabase.
Men med hensyn til identiteten på den person eller organisation, der samlede alle data og i sidste ende afslørede dem på nettet, ved vi ikke.
Farer ved blotlagt information
Kombinationen af demografiske data sammen med kontaktoplysninger er en guldmine for spammere og svindlere. De kan bruge oplysningerne til at kontakte ofre med personlige e-mails, sms'er og opkald. Indbyggere i Chicago, Los Angeles og San Diego bør være på udkig efter svindel og phishing-ordninger.
Klik aldrig på et link i en uopfordret e-mail, og bekræft altid afsenderens identitet, før du giver personlige eller økonomiske oplysninger.
Oplysningerne truer også privatlivets fred for personer, der ikke ønsker deres navne, kontaktoplysninger og adresser offentliggjort: ofre for vold i hjemmet, udokumenterede immigranter, dommere, advokater og tidligere kriminelle, for at nævne nogle få.
Hvorfor vi rapporterede denne datahændelse
Comparitechs cybersikkerhedsforskningsteam scanner rutinemæssigt internettet for ubeskyttede databaser, der indeholder personlige oplysninger. Når vi finder en afsløret database, begynder vi straks at undersøge, hvem der er ansvarlig for den, hvem der kan blive påvirket, hvilke data der er afsløret, og den potentielle indvirkning på slutbrugerne.
Efter at have identificeret, hvem der er ansvarlig for dataene, advarer vi dem straks i overensstemmelse med vores politik for ansvarlig offentliggørelse. Så snart dataene er sikret, og vores undersøgelse er afsluttet, udgiver vi en artikel som denne for at øge opmærksomheden og begrænse skade på slutbrugere. I dette tilfælde, efter at have undladt at identificere ejeren, advarede vi hostingudbyderen Amazon Web Services, som kontaktede ejeren på vores vegne.
Tidligere rapporter om datahændelser
Comparitech har fundet og rapporteret om adskillige datahændelser som denne, herunder:
- Cybersikkerhedsvirksomhed afslører 5 milliarder registreringer fra tidligere databrud
- British Gas softwareleverandør afslører 3,6 millioner kunde-e-mailadresser
- Indiens visumbureau afslører 6.500 rejsendes visumansøgninger på nettet
- Utah COVID-19 testservice afslører 50.000 patienters foto-id'er, personlige oplysninger
- Bilforhandlerens marketingtjeneste Friendmic afslører 2,7 millioner forbrugerrekorder
- Gym-kæden Town Sports afslører 600.000 registreringer af medlemmer og personale
- Fængselstelefontjeneste Telmate afslører beskeder, personlige oplysninger om millioner af indsatte
- Sociale medier datamægler afslører næsten 235 millioner skrabet profiler
- UFO VPN afslører millioner af logfiler inklusive brugeradgangskoder
- 42 millioner iranske 'Telegram'-telefonnumre og bruger-id'er blev brudt
- Detaljer om næsten 8 millioner britiske onlinekøb lækket
- 250 millioner kundesupportposter fra Microsoft blev afsløret online
- Mere end 260 millioner Facebook-legitimationsoplysninger blev sendt til et hackerforum
- Næsten 3 milliarder e-mailadresser lækket, mange med tilsvarende adgangskoder
- Detaljerede oplysninger om 188 millioner mennesker blev opbevaret i en usikret database
- Over 2,5 millioner CenturyLink-kunderegistreringer lækket