Rapport: Detaljerede personlige optegnelser over 188 millioner mennesker fundet eksponeret på nettet
Vi opdagede en database, der indeholder næsten188 millioner posteraf personlige data eksponeret på nettet og tilgængelige for alle med en internetforbindelse.
Comparitech i samarbejde med sikkerhedsforsker Bob Diachenko afslørede den blotlagte MongoDB-database den 18. juni 2019.
Nogle af optegnelserne ser ud til at være fra henholdsvis Pipl.com og LexisNexis, People Search og juridiske søgewebsteder. Optegnelserne hentet fra Pipl.com, hovedparten af dataene, indeholdt nogle eller alle af følgende oplysninger:
- For-og efternavn
- Aliaser og fornavn
- Email adresse
- Fysisk adresse
- Fødselsdato
- Rets- og konkursnotater
- Telefonnummer
- Links til profiler på sociale medier
- Politiske tilhørsforhold
- Race
- Religion
- Færdigheder
- Køn
- Arbejdsgivere tidligere og nu
- Biler og ejendom
Omkring 800.000 af optegnelserne ser ud til at stamme fra LexisNexis, en lovlig søgemaskine. Disse optegnelser omfattede navne, tidligere navne, adresser, køn, forældrestatus, en kort biografi, familiemedlemmer, redigerede e-mails og information om personens naboer, herunder fulde navne, fødselsdatoer, omdømme og adresser.
Den blev første gang indekseret af søgemaskiner den 17. juni. Vi sporede databasen tilbage til en Github-repo til en People Search API kaldet thedatarepo. Vi underrettede omgående databaseejeren, så snart han kunne fastslå, hvem den tilhørte. Ejeren lukkede derefter adgangen den 3. juli 2019.
Vi ved ikke, om andre har fået uautoriseret adgang til databasen.
Hvis data blev afsløret?
Thedatarepo har sit eget webdomæne, men hjemmesiden er nede i skrivende stund. At dømme efter 'dataSource'-felterne i databasen ser det ud til, at skaberne af API'en enten har skrabet eller købt dataene fra Pipl og LexisNexis, ogdet forekommer ikke sandsynligt, at Pipl og LexisNexis rent faktisk blev brudt.Meget af de personlige oplysninger, der findes gennem disse søgeværktøjer, er offentligt tilgængelige, selvom normale brugere kun kan se én post ad gangen.
Github-repoen gav eksempler på, hvordan API'et kunne have været brugt, for eksempel til at slå folk op ved deres navn eller hvilken bil de ejer. Den blev sidst opdateret den 18. juni 2019. Den viser en e-mail, hvor brugere kan anmode om 'bulk datakøb og/eller adgang til flere data/anmodninger.'
Datamæglere som Pipl indhenter personlige oplysninger fra en række offentlige og proprietære kilder. Til det formål beder de ikke om samtykke og underretter ikke rekordholdere om, at de er en del af en database. Hvis du bor i USA, er chancerne for, at du kan findes på datamægler og folk søger på websteder som Pipl, ZabaSearch, WhitePages.com, Wink og PeekYou.
Desværre gør Pipl ikke det nemt at fjerne dine personlige oplysninger. Fritager sig selv for ansvar, Pipl stater det samler kun oplysninger fra tredjepartskilder. Hvis du vil have nogle stykker information fjernet fra Pipl, skal du gå til den originale kilde og fjerne den derfra. Men fordi Pipl nu er en betalt tjeneste (den tilbyder ikke længere et gratis søgeværktøj til personer), er ofre afskåret fra at se deres egne oplysninger, og hvor de kom fra.
Udsatte databaser er en enorm risiko
Databaser med personlige oplysninger udsat for nettet er en enorm risiko, siger Diachenko, der samarbejder med Comparitech om sikkerhedsforskning. Ikke alene risikerer personlige data at blive stjålet; selve databasen kan blive kapret:
'Jeg har tidligere rapporteret, at manglen på godkendelse tillader installation af malware eller ransomware på MongoDB-serverne. Den offentlige konfiguration giver cyberkriminelle mulighed for at administrere hele systemet med fulde administrative rettigheder. Når først malwaren er på plads, kan kriminelle få fjernadgang til serverressourcerne og endda starte en kodeudførelse for at stjæle eller fuldstændig ødelægge alle gemte data, serveren indeholder.'
De personer, hvis oplysninger blev lækket, kan være i fare for målrettet phishing og identitetssvig. Vi anbefaler at lære hvordan man finder phishing-e-mails at forblive sikker.
LexisNexis er blevet brudt to gange tidligere, én gang i 2005 og én gang i 2013. Den første lækket 310.000 poster indeholdende personlige oplysninger, herunder navne, adresser, CPR-numre og kørekortnumre. LexisNexis oplyste ikke, hvor mange poster der var tale om overtrådt i 2013 , men disse data indeholdt angiveligt SSN'er, baggrundsrapporter og andre detaljer om millioner af amerikanere.
Comparitech vil opdatere denne artikel, hvis vi opdager flere detaljer at rapportere.