Foto: Colin/Wikimedia Commons
Un poco conosciuto, Florida-based marketing azienda Exactis può essere responsabile di una quantità significativa di dati personali di essere esposti. Secondo un rapporto da Wired, la ditta sinistra 340 milioni di singoli record su un server accessibile in pubblico che ogni persona può hanno ottenuto ahold di.
La falla è stata scoperta all’inizio di questo mese dal ricercatore di sicurezza Vinny Troia, fondatore di the New York-based società di sicurezza di Notte Leone di Sicurezza. Ha riferito che la sua ricerca per l’FBI e Exactis all’inizio di questa settimana, e mentre l’azienda ha dato protetti i dati, non è chiaro quanto tempo si sedette esposti.
Quindi, solo come il male è la perdita? Fa male! I dati memorizzati sul server ammonta a circa due terabyte vale la pena di informazioni personali.
Troia detto a Wired il database da Exactis sembra avere i dati da “praticamente ogni cittadino degli stati UNITI”, con circa 230 milioni di record di Americani adulti e 110 milioni di dischi su di NOI contatti di business. Che cade in linea con Exactis’ sostengono proprio sul suo sito web che dispone di dati su 218 milioni di individui. Se la perdita è veramente grande come la stima, sarebbe per una delle più importanti esposizioni di informazioni personali nella memoria recente.
I record contengono una varietà di punti di dati, inclusi i numeri di telefono, indirizzi e indirizzi e-mail collegato al nome di un utente. E ‘ incluso anche più di 400 caratteristiche di una persona, che vanno da se la persona è un fumatore o non, la loro religione, se possiedono animali domestici, se si hanno dei bambini, la loro età, sesso, etc. E ‘ incluso anche gli interessi, come le immersioni subacquee e plus-size abbigliamento, per via cavo.
In particolare, le informazioni finanziarie e i numeri di Sicurezza Sociale non sono stati scoperti nel database. (Non preoccupatevi, tutte le informazioni che è probabile che già esposto da Equifax l’anno scorso.) Questo non significa che le informazioni non hanno valore, anche se. Sono stati questi dati è stato effettuato l’accesso da un malware attore, potrebbero facilmente abbinare con precedenti violazioni per creare ancora di piu ‘ il profilo di un individuo o di utilizzarlo per effettuare attacchi di social engineering.
Ci sono un sacco di inquietudini circa la Exactis perdita, non ultimo dei quali è l’enorme quantità di informazioni esposte. Prima di tutto c’è la questione di dove questa piccola azienda di marketing basata a Palm Coast, Florida ha ottenuto le sue mani su di interessi personali e le informazioni di contatto di centinaia di milioni di Americani.
Troia ha detto di non sapere dove sono i dati provenienti da esattamente, ma ha definito “una delle più complete collezioni” che abbia mai visto. Marc Rotenberg, direttore esecutivo del no-profit Electronic Privacy Information Center, teorizzato via cavo, che le informazioni possono provenire da una varietà di fonti, tra cui abbonamenti a riviste, carta di credito i dati di transazione, e i rapporti di credito.
Poi c’è il fatto che nessuno ha idea se questo enorme database è stata letta da nessuno prima Troia. Solo Exactis avrebbe alcuna idea di quanto tempo il server è seduto non protetti, e potenzialmente in grado di vedere chi sono stati utilizzati. L’azienda non ha ancora risposto pubblicamente per la perdita e non ha risposto alla richiesta di commento.
Le probabilità sono, qualcuno—un hacker o semplicemente una persona a caso—probabilmente imbattuto il server prima di Troia. Il ricercatore di sicurezza ha trovato il database, mentre utilizzando lo strumento di ricerca di Shodan, che permette a chiunque di scansione pubblicamente accessibili, internet e dispositivi connessi. Chiunque abbia accesso agli stessi strumenti potrebbe facilmente scoperti stesso server Troia trovato.
Questi tipi di perdite, in cui un server che contengono informazioni sensibili è garantita e si succedono con regolarità sorprendente. Un conservatore dati azienda accidentalmente trapelata informazioni su più di 200 milioni di Americani l’anno scorso. 12.000 di social media influencer avuto le loro informazioni esposte in un simile contrattempo, come fatto con NOI veterani militari e gli appaltatori di governo. Tutto questo va a dimostrare che le aziende di raccolta dei dati non sono nel business di proteggerla.
[Wired]