Блог

Доклад: Подробни лични досиета на 188 милиона души, открити в мрежата

188m счупен рекорд



Открихме база данни, съдържаща почти188 милиона записана лични данни, изложени в мрежата и достъпни за всеки с интернет връзка.

Comparitech заедно с изследователя по сигурността Боб Диаченко разкриха изложената база данни MongoDB на 18 юни 2019 г.



Някои от записите изглежда са съответно от Pipl.com и LexisNexis, уебсайтове за търсене на хора и легално търсене. Записите, получени от Pipl.com, по-голямата част от данните, съдържаха част или цялата от следната информация:

  • Първо и последно име
  • Псевдоними и минало име
  • Имейл адрес
  • Физически адрес
  • Дата на раждане
  • Съдебни и банкрутни бележки
  • Телефонен номер
  • Връзки към профила в социалните медии
  • Политически пристрастия
  • състезание
  • Религия
  • Умения
  • Пол
  • Работодатели минали и настоящи
  • Автомобили и имущество

thedatarepo api експозиция pipl



Около 800 000 от записите изглежда произхождат от LexisNexis, легална търсачка. Тези записи включват имена, минали имена, адреси, пол, родителски статус, кратка биография, членове на семейството, редактирани имейли и информация за съседите на лицето, включително пълни имена, дати на раждане, рейтинги на репутация и адреси.

За първи път беше индексиран от търсачките на 17 юни. Проследихме базата данни обратно до Github repo за API за търсене на хора, наречен thedatarepo. Своевременно уведомихме собственика на базата данни, веднага щом той можеше да определи на кого принадлежи. След това собственикът затвори достъпа на 3 юли 2019 г.

thedatarepo излагане на данни
Тази екранна снимка беше направена в началото на нашето разследване, впоследствие базата данни беше актуализирана и броят на записите се увеличи до 188 милиона.

Не знаем дали някой друг е получил неоторизиран достъп до базата данни.

Чии данни бяха разкрити?

Thedatarepo има собствен уеб домейн, но уебсайтът не работи към момента на писане. Съдейки по полетата „dataSource“ в базата данни, изглежда, че създателите на API или са изкопали, или са закупили данните от Pipl и LexisNexis, ине изглежда вероятно Pipl и LexisNexis действително да са били пробити.Голяма част от личната информация, намерена чрез тези инструменти за търсене, е публично достъпна, въпреки че нормалните потребители могат да преглеждат само един запис наведнъж.

Репото Github даде примери за това как API може да се използва, например, за търсене на хора по имената им или каква кола притежават. Последно е актуализиран на 18 юни 2019 г. Той изброява имейл за потребителите, за да поискат „покупки на групови данни и/или достъп до повече данни/заявки“.

Брокерите на данни като Pipl получават лична информация от различни публични и частни източници. За тази цел те не искат съгласие и не уведомяват притежателите на записи, че са част от база данни. Ако живеете в САЩ, има голяма вероятност да бъдете открити в брокер на данни и хората да търсят в уебсайтове като Pipl, ZabaSearch, WhitePages.com, Wink и PeekYou.

начална страница на pipl

За съжаление, Pipl не прави премахването на вашата лична информация лесно. Освобождавайки се от отговорност, Пипл държави той събира само информация от източници на трети страни. Ако искате част от информацията да бъде премахната от Pipl, трябва да отидете до оригиналния източник и да я премахнете от там. Но тъй като Pipl вече е платена услуга (той вече не предлага безплатен инструмент за търсене на хора), жертвите не могат да преглеждат собствената си информация и откъде идва.

Разкритите бази данни са огромен риск

Базите данни с лична информация, изложени в мрежата, са огромен риск, казва Дяченко, който си сътрудничи с Comparitech в изследванията на сигурността. Личните данни не само са изложени на риск от кражба; самата база данни може да бъде отвлечена:

„По-рано съобщавах, че липсата на удостоверяване позволява инсталирането на злонамерен софтуер или рансъмуер на сървърите на MongoDB. Публичната конфигурация позволява на киберпрестъпниците да управляват цялата система с пълни административни привилегии. След като злонамереният софтуер е на мястото си, престъпниците могат да получат отдалечен достъп до сървърните ресурси и дори да стартират изпълнение на код, за да откраднат или напълно да унищожат всички запазени данни, които сървърът съдържа.

Хората, чиято информация е изтекла, могат да бъдат изложени на риск от целенасочен фишинг и измама със самоличност. Препоръчваме учене как да забележите фишинг имейли за да останете в безопасност.

LexisNexis е бил пробиван два пъти в миналото, веднъж през 2005 г. и веднъж през 2013 г. Първият изтекоха 310 000 записа съдържащи лична информация, включително имена, адреси, номера на социално осигуряване и номера на шофьорска книжка. LexisNexis не разкрива колко са записите нарушен през 2013 г , но според съобщенията тези данни съдържат SSN, доклади за миналото и други подробности за милиони американци.

Comparitech ще актуализира тази статия, ако открием повече подробности за докладване.

^