Ataskaita: nežinomų duomenų pažeidimas atskleidžia 80 milijonų JAV namų ūkių


„vpnMentor“ tyrimų komanda aptiko įsilaužimą, paveikiantį 80 milijonų Amerikos namų ūkių.

Žinomi hacktivists Noam Rotem ir Ran Locar atrado neapsaugota duomenų bazė, paveikianti iki 65% JAV namų ūkių.

„Microsoft“ debesies serverio priglobtoje 24 GB duomenų bazėje pateikiamas kiekviename namų ūkyje gyvenančių žmonių skaičius su vardais, pavardėmis, šeimine padėtimi, pajamų grupe, amžiumi ir dar daugiau.

Informacija įtraukta į duomenų bazę

Žemiau yra tipinio įrašo iš šios duomenų bazės ekrano kopija:

Ataskaita: nežinomų duomenų pažeidimas atskleidžia 80 milijonų JAV namų ūkių

Atrodo, kad duomenų bazė išskiria namų ūkius, o ne asmenis. Tai įeina:

  • Pilni adresai, įskaitant gatvių, miestų, apskričių, valstijų ir pašto kodus
  • Tiksli ilguma ir platuma
  • Vardai ir pavardės, įskaitant vardą, pavardę ir vidurinę pradžią
  • Amžius
  • Gimimo data

Dalis informacijos yra įtraukta, bet užkoduota (atsižvelgiant į tai, ką mes manome esant vidinę skaitmeninę vertę). Tai įtraukia:

  • Pavadinimas
  • Lytis
  • Šeiminė padėtis
  • Pajamos
  • Namo savininko statusas
  • Būsto tipas

Vienintelė tikra užuomina, kad tai duomenų bazė priklauso kažkokiai tarnybai tai, kad „member_code“ ir „score“ yra kiekviename įraše.

Šios informacijos atskleidimo pavojus

Tai nėra pirmas kartas, kai pažeidžiama didžiulė duomenų bazė. Tačiau mes tuo tikime tai yra pirmas kartas, kai tokio dydžio pažeidimas apima žmonių vardus, adresus ir pajamas.

Ši atvira duomenų bazė yra tapatybės vagys ir kiti užpuolikai. Štai taip:

Kibernetiniai išpuoliai

Prieiga prie jūsų vardo gali padėti įsilaužėliams atspėti jūsų el. Pašto adresą. Daugelis žmonių el. Pašto adresą naudoja [email protected] Nors tai prasminga, tačiau taip pat leidžia lengvai atpažinti.  

Sukčiavimo sukčiavimu gali būti įvairių formų ir „ransomware“ yra vienas pavojingiausių. Paprastai tai atsitinka, kai pavojingi saitai įdedami į el. Laiškus; atidarius juos užkrečiamas jūsų kompiuteris. vienintelis būdas pašalinti išpirkos programas yra sumokėjimas mokestis - ir turėdami prieigą prie savo pajamų informacijos, užpuolikai žino, kiek gali iš jūsų reikalauti.

Tikrojo pasaulio pavojai

Tavo vardas ir miestas pakanka atlikti išsamią interneto paiešką. „Google“ pateiks nuorodas į bet ką su jūsų vardu, įskaitant: įmonių svetaines, asmeninius tinklaraščius ar svetaines, socialinės žiniasklaidos profilius, tokius kaip „Facebook“, „Instagram“ ir „Twitter“, ir vietinę žiniasklaidą, kurioje galite būti rodomi.

Tarkime, kurį laiką neatnaujinote saugos nustatymų „Facebook“ profilyje, todėl jūsų įrašai yra matomi žmonėms, su kuriais nesate draugai. Viskas, ką skelbiate, yra prieinama internete - įskaitant atostogų nuotraukas, kurias tą rytą įkėlėte. geografinis ženklas rodo, kad esate už tūkstančių mylių Iš namų.

Nuo visas jūsų adresas yra ir duomenų bazėje, Vagis ne tik žino, kur gyvenate, bet ir dabar žino, kad esate toli nuo namų namas tikriausiai tuščias. Jie taip pat gali matyti jūsų pajamas, todėl gali apytiksliai įvertinti jūsų namų turinį. Jūs ką tik tapote svarbiausiu puolimo taikiniu.

Tai blogėja: jūsų amžius taip pat yra duomenų bazėje. Užpuolikai - tiek prisijungę, tiek neprisijungę - gali nustatyti pažeidžiamiausius žmones, filtruoti juos pagal pajamas ir naudoti duomenų bazės informaciją, kad užtikrintai užpultų ir išnaudotų žmones telefonu, el. Paštu ar asmeniškai..

Šis scenarijus yra tik ledkalnio viršūnė. Adresai gali lengvai paskambinti į telefono numerius, todėl žmonėms lengva sukčiavimo apgaulė. Gimimo datos ir pašto kodai yra įprasti atsakymai į saugumo klausimus. Ilguma ir platuma reiškia, kad jūsų namus galima tiksliai nustatyti ir apžiūrėti.

Žinoma, yra būdų, kaip išlikti saugiems internete ir realiame pasaulyje. Pvz., Apsaugokite namus naudodami aliarmus ir savo interneto ryšį naudodami aukščiausio lygio VPN. Tai padės apsaugoti jus bet kur.

Kaip mes atradome nutekėjimą

Tyrėjų komanda šiuo metu dirba milžiniška interneto žemėlapių projektas. Jie naudoja prievadų nuskaitymą žinomiems IP blokams ištirti. Tai atskleidžia atvertas interneto sistemų spragas, kurias jos patikrina, ar nėra trūkumų ir duomenų nutekėjimo.

Paprastai tyrėjai įtaria, kur yra nutekėjimas. Tada jie gali ištirti duomenų bazę, kad būtų patvirtinta jos tapatybė.

Tada kreipiamės į duomenų bazės savininką, kad praneštume apie nutekėjimą ir, jei įmanoma, įspėtume paveiktus žmones. Tai padeda sukurti saugesnį ir labiau apsaugotą internetą.

Nors duomenų bazę tyrėme internete, mes jos neatsisiuntėme. Mūsų tyrinėtojai manė, kad atsisiųsti tai bus labai svarbu etinis pažeidimas, nes tada jie be žmonių sutikimo nelegaliai turėtų asmens tapatybės duomenų rinkinius.

Kodėl šis duomenų pažeidimas yra skirtingas

Šį kartą jis kitoks. Duomenų bazėje, kurią komanda atrado, yra informacijos apie daugiau nei 80 milijonų namų ūkių visoje JAV. Kadangi daugumoje namų ūkių yra daugiau nei vienas gyventojas, duomenų bazė galėtų tiesiogiai paveikia šimtus milijonų asmenų.

„vpnMentor“ ragina visuomenę padėti nustatyti duomenų bazę ir uždaryti nutekėjimą.

Kitaip nei ankstesni nutekėjimai, kuriuos atradome, šį kartą mes turime neįsivaizduoju, kam ši duomenų bazė priklauso. Jis priglobtas „debesies“ serveryje, o tai reiškia, kad su juo susijęs IP adresas nebūtinai turi būti prijungtas prie jo savininko.

Duomenys apima vienodus įrašus daugiau kaip 80 milijonų namų ūkių, todėl beveik neįmanoma susiaurinti. Vieninteliai mūsų pastebėti faktai glūdi žmonių amžiuje: nepaisant to, kad ieškojome tūkstančių įrašų, nepavyko rasti nė vieno, nurodyto jaunesniems nei 40 metų.

Įdomu, suteikiama žmonių pajamų vertė (tačiau mes nežinome, ar tai yra vidinės reitingų sistemos kodas, mokesčių skliaustas, ar faktinė suma).

Tai leido įtarti, kad duomenų bazė priklauso draudimo, sveikatos priežiūros ar hipotekos bendrovė. Tačiau trūksta informacijos, kurią galima rasti brokerių ar bankų valdomoje duomenų bazėje. Pvz., Nėra politikos ar sąskaitų numerių, socialinio draudimo numerių ar mokėjimo tipų.

Padėkite mums nustatyti šią duomenų bazę

Atnaujinimas 2018-04-30: Ši duomenų bazė nebeatvira visuomenei. Paskelbus mūsų ataskaitą, „Microsoft“ savo serverį atsijungė. Pareiškime jie teigė: „Mes pranešėme duomenų bazės savininkui ir imamės tinkamų priemonių padėti klientui pašalinti duomenis, kol juos bus galima tinkamai apsaugoti“. „Microsoft“ neatskleidė, kam priklauso duomenų bazė.

Norime susisiekti su šios duomenų bazės savininkais ir pranešti jiems, kad jų duomenų žurnalai yra atskleidžia milijonus namų ūkių.

Padėkite mums išspręsti mįslę:

Kokiomis paslaugomis naudojasi 80 milijonų namų visoje JAV, bet tik JAV, ir tik žmonės, vyresni nei 40? Kokia tarnyba surinktų jūsų būsto savininko statusą ir būsto tipą, bet ne jūsų socialinio draudimo numerį? O kokia tarnyba užfiksuoja, kad esate vedęs, bet ne tiek, kiek turite vaikų?

Jei galite mums padėti nustatyti šią duomenų bazę ar žinote, kas ją valdo, susisiekite su mumis el. Paštu [email protected] Čia išvardytos 80 milijonų šeimų nusipelno privatumo, ir mums reikia jūsų pagalbos, norint ją apsaugoti.

Jus gali sudominti mūsų ankstesnės ataskaitos:

Neseniai atskleidėme, kad „Gearbest“ patyrė didžiulį duomenų pažeidimą, ir tai daugiau nei 25% „Fortune 500“ bendrovių buvo nulaužtos. Taip pat galbūt norėsite perskaityti mūsų Irane naudojamų suklastotų programų, skirtų vartotojams stebėti, ataskaitą, VPT pranešimo apie nutekėjimą ir duomenų privatumo statistikos ataskaitą..

Prašau pasidalykite šia ataskaita „Facebook“ arba tweet tai taigi kiti saugumo specialistai gali padėti mums nustatyti ir pašalinti šį nutekėjimą.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me