12億個人數(shù)據(jù)泄露:明晃晃地掛在暗網(wǎng)上
身為驢(旅)友,花大把時間探索大千世界著實不錯,如果運氣好,找找寶藏,沒準真能遇到堆滿了金銀財寶的“小金屋”。
不過,這都算不上離奇。最刺激的,寶藏被神秘人士仍在大街上,任你去取。連找的力氣都省了,那還不得樂昏過去?
或許你會問,世上哪有這等好事?別說,還真有!
近日,研究人員鮑勃·迪亞琴科( Bob Diachenko )和文尼·特羅亞( Vinny Troia )就發(fā)現(xiàn)了“寶箱”。
原來,這是一個 Elasticsearch 服務器,其中包含12億用戶賬戶,該服務器被公開在暗網(wǎng)上,任何人都可以“到此一游”。
數(shù)據(jù)來自何方?
研究人員分析,當人們通過 BinaryEdge 和 Shodan 尋找公開信息時,偶然發(fā)現(xiàn)服務器的IP地址可以追溯到 Google Cloud Services 。總體而言,該數(shù)據(jù)庫存儲著超過 4 TB 的公開數(shù)據(jù)供公眾訪問。
作為全文檢索搜索引擎的核心技術, Elasticsearch 作為基于 Lucene 庫的搜索引擎而存在,其被應用于企業(yè)信息網(wǎng)站、媒體網(wǎng)站、政府站點、商業(yè)網(wǎng)站、數(shù)字圖書館和搜索引擎中。
查看研究人員分享的詳細信息后發(fā)現(xiàn),該數(shù)據(jù)是從社交媒體平臺(包括 Twitter , Facebook , LinkedIn 和 GitHub )中抓取,而該平臺同樣為 Git (一個開源的分布式版本控制系統(tǒng))的存儲庫執(zhí)行托管服務。
這些數(shù)據(jù)在服務器中被分類成四個不同的數(shù)據(jù)集,其中三個被標記為“ People Data Labs ”的數(shù)據(jù)代理,而另一個則被標記為“ OxyData ”的數(shù)據(jù)代理。
Troia 稱,他在 People Data Labs ( PDL )中發(fā)現(xiàn)了自己 10 年前在 AT&T 公司辦理的一個固話號碼。這個號碼他從未使用過,但是當時錄入的信息卻被保留在了這里。
經(jīng)研究發(fā)現(xiàn),在該服務器中包含了近 30 億 PDL 用戶記錄,近 12 億唯一人員和 6.5 億唯一電子郵件地址。
這些數(shù)據(jù)數(shù)量不光與 PDL 公司的宣傳相符,甚至研究人員還可以通過 PDL API 返回的信息來反向查詢這些數(shù)據(jù)。
另外,研究人員通過將數(shù)據(jù)庫和上述兩家公司的公開數(shù)據(jù)進行比對,發(fā)現(xiàn)至少在一定程度上源自它們。研究人員在博客文章中專門針對 PDL 的措辭進行了詳細說明:
在打開的 Elasticsearch 服務器上發(fā)現(xiàn)的數(shù)據(jù)幾乎與 People Data Labs API 返回的數(shù)據(jù)完全匹配。唯一的區(qū)別是 PDL 返回的數(shù)據(jù)還包含教育歷史記錄。
從服務器下載的任何數(shù)據(jù)中都沒有教育信息。其他所有內(nèi)容都完全相同,包括具有多個電子郵件地址和多個電話號碼的帳戶。
但是, PDL 聯(lián)合創(chuàng)始人 Sean Thorne 否認公司擁有該服務器的說法,并稱,該服務器的所有者可能使用了 PDL 提供的一種擴充產(chǎn)品,以及其他數(shù)據(jù)擴充或許可性服務。
另一方面,4 TB 用戶數(shù)據(jù)(包括 3.8 億個配置文件)被證實來自OxyData公司,但是該公司同樣回應稱并沒有服務器的所有權。
截止目前,研究人員并不能確定是誰將服務器公開在互聯(lián)網(wǎng)上,但信息泄露意味著將會影響到兩家公司的共同客戶,并使其面臨數(shù)據(jù)濫用的風險。
不是頭一次了
除了這次事件, Elasticsearch 服務器曾多次被向公眾公開,這同樣將毫無戒心的用戶和企業(yè)的個人數(shù)據(jù)置于風險之中:
今年早些時候,Elasticsearch服務器上公開了超過2000萬俄羅斯公民的個人信息。
今年5月,在 Freedom Mobile 擁有的 Elasticsearch 數(shù)據(jù)庫在線泄漏后,具有數(shù)百萬加拿大人 CVV 碼的個人和支付卡數(shù)據(jù)再次暴露。
去年 12 月,另一個包含 8200 萬美國人個人信息的數(shù)據(jù)庫在網(wǎng)上暴露了出來。
Elasticsearch 服務器有關的數(shù)據(jù)泄漏事件屢屢出現(xiàn),也吸引了大量攻擊者的目光,因為這可能成為其攻擊行動的切入點。
Cequence Security 公司的一名黑客 Jason Kent 評論稱,“我們看到一種不同于以往的全新且具有潛在危險的數(shù)據(jù)關聯(lián)。如果攻擊者持有豐富的數(shù)據(jù)集,那么就能夠制作針對性極高的攻擊。這種攻擊可導致密碼恢復信息、財務數(shù)據(jù)、通信模式、社會結(jié)構(gòu)等被暴露,這是高級別在位人員可遭針對性攻擊的方式。
聯(lián)邦調(diào)查局尚未回應
兩名研究員將這一發(fā)現(xiàn)上報了聯(lián)邦調(diào)查局,盡管通常情況下幾個小時內(nèi) Elasticsearch 服務器即可完成數(shù)據(jù)脫機操作。但是,后者在收到消息后并未給出明確回復。
ARM Insight 首席執(zhí)行官 Randy Koch 分析,此次大規(guī)模數(shù)據(jù)泄露事件對那些被看成持有數(shù)據(jù)所有權的企業(yè)來說造成巨大破壞,同時也會造成數(shù)十億人的信息外泄到世界各地。
所包含的個人數(shù)據(jù)如此龐大,加上識別數(shù)據(jù)所有者很復雜,因此有可能會引發(fā)我們現(xiàn)行隱私和數(shù)據(jù)泄露通知法律有效性的問題。
如果具有數(shù)據(jù)掌控權的公司將其用戶信息收集并進行集中合成,則可以有效預防此事件,因為數(shù)據(jù)合成的過程在模仿真實數(shù)據(jù)的同時消除了用戶的可識別特征。
正確合成后,它就不能被黑客進行逆向工程,并同時保留了原始數(shù)據(jù)集的所有統(tǒng)計價值,因此它仍然可以用于分析、市場營銷、客戶細分和AI算法訓練等等。
但是,集中數(shù)據(jù)會抵消作為數(shù)據(jù)掌控企業(yè)的名譽,且在隱私、合規(guī)性上也頗具風險。