Исследовательская группа обнаружила незащищенную базу данных, принадлежащую неизвестной стороне, содержащую 800 гигабайт персональной информации о пользователях. Эта база данных была оставлена на общедоступном сервере и содержала более 200 миллионов подробных записей о пользователях, что поставило под угрозу огромное количество людей.
Что было в базе данных?
База данных содержала папку, которая включала более 200 миллионов невероятно подробных записей похожих на профили пользователей США.
Записи содержали, среди прочего:
- Полные имена и названия лиц, подвергшихся утечке.
- Электронные адреса
- Телефонные номера
- Даты рождения
- Кредитные рейтинги
- Адреса домов и залоговой недвижимости, включая их точное местонахождение
- Демографические данные, включая число детей и их половую принадлежность.
- Подробный ипотечный и налоговый учет
- Подробные профили данных, включая информацию о личных интересах физических лиц, инвестициях, а также о политических, благотворительных и религиозных пожертвованиях.
Пример утечки записей:
Похоже, что большая часть данных в основной папке могла быть получена от Бюро переписи населения Соединенных Штатов Америки. Некоторые коды, используемые в базе данных, были либо специфичны для Бюро, либо используются в классификациях Бюро.
Кроме того, база данных содержала две дополнительные папки, которые, по-видимому, не были связаны с массой личных записей, найденных нами в основной папке. В этих папках содержались следующие данные:
- Журналы экстренных вызовов пожарной службы, расположенной в США.
- Список некоторых из 74 станций велосипедного ресурса, которые когда-то принадлежали программе велосипедного ресурса. Текущим владельцем этих велосипедных станций является Lyft.
В то время как две папки меньшего размера не содержали никакой личной информации, в журналах звонков от пожарной службы были указаны даты, время, места и другие метаданные о звонках в экстренных ситуациях, датированные 2010 годом.
Пример утечки журналов вызовов пожарной службы:
Наличие отображенных на карте мест расположения велосипедных общих станций и журналов звонков пожарной службы, возможно, указывало на то, что база данных могла либо представлять собой сбор украденных данных, либо использоваться несколькими сторонами одновременно, но это не смогли это подтвердить.
Однако в связи с тем, как были структурированы данные в основной папке, аналитики подозревают, что база данных принадлежала фирме, занимающейся маркетингом данных, или кредитной компании. Например, категории и разделы были помечены как коды, похожие на словари, используемые маркетологами, номера социального страхования отсутствовали, а все просмотренные нами профили данных включали в себя кредитные оценки.
Кто имел доступ?
База данных находится в США и размещена на сервере Google Cloud, который был открыт в течение неизвестного периода времени. Когда исследователи в последний раз получали доступ к базе данных до ее стирания, она содержала около 800 гигабайт данных, включая сотни миллионов записей о крайне конфиденциальных личных данных пользователей, о которых говорилось выше. Сама база данных все еще находится в режиме онлайн и доступна, но больше не содержит никаких записей.
Хотя неясно, имели ли злоумышленники доступ к базе данных до ее стирания 3 марта или данные были стерты хакером BlackHat, любой, кто знал, где искать, мог получить доступ к данным, не нуждаясь ни в какой аутентификации.
Какие последствия?
Трудно недооценить тот огромный эффект, который эта утечка данных может оказать на сотни миллионов людей в США. Данные являются виртуальной золотой жилой для любого, кто склонен к киберпреступлениям.
Простая продажа этих рекордов на даркнет-рынках по цене ниже среднего по цене 1 доллар за рекорд чистая прибыль для продавца составит около 200 миллионов долларов. Однако, если киберпреступники будут полностью использовать свой разрушительный потенциал, эта утечка данных может привести к неисчислимым миллиардам убытков для обманутых пользователей:
- Мошенники могут использовать имена, адреса электронной почты, телефонные номера и другие личные данные пострадавших пользователей для различных мошеннических схем.
- Спамеры и фишеры могут использовать огромное количество контактных данных для осуществления целенаправленных атак на незащищенных пользователей на различных фронтах, таких как электронная почта и текстовые сообщения.
- Хотя в базе данных нет номеров социального страхования, которые позволяли бы мошенникам с кредитными картами заниматься откровенным кражей личных данных, количество личных данных, доступных в этих записях, идеально подходит для профилирования, выдачи себя за другое лицо и других форм социальной инженерии.