Foto: Colin/Wikimedia Commons
En lidet kendt, Florida-baseret marketing firma, der hedder Exactis kan være ansvarlig for en betydelig mængde af personlige data bliver udsat for. Ifølge en rapport fra Wired, virksomheden venstre 340 millioner individuelle registreringer på en offentligt tilgængelig server, der enhver person kunne have fået fat i.
Lækagen blev opdaget tidligere i denne måned af sikkerhedsekspert Vinny Troia, grundlægger af den New York-baserede firma Nat Lion Sikkerhed. Han fortalte, at hans finde på at FBI og Exactis tidligere i denne uge, og samtidig har virksomheden siden er beskyttet af data, er det uklart, hvor lang tid det sad udsat for.
Så hvor slemt er det lækage? Det er temmelig dårligt! De data, der er gemt på serveren svarer til omkring to terabytes værd af personlige oplysninger.
Troia fortalte Kablede databasen fra Exactis ser ud til at have data fra “stort set alle OS borger” i det, med omkring 230 millioner optegnelser om Amerikanske voksne og 110 millioner plader på OS forretningsforbindelser. Der falder i tråd med Exactis’ egen påstand på sin hjemmeside, at den har data på 218 millioner individer. Hvis lækagen er virkelig så stor som forventet, det ville gøre for en af de største engagementer af personlige oplysninger i de seneste hukommelse.
Disse optegnelser indeholder en bred vifte af data punkter, herunder telefonnumre, privatadresser og e-mail-adresser forbindelse til en persons navn. Det er også omfattede mere end 400 karakteristika om en person, som spænder lige fra, hvis den person, der er en ryger eller ikke, deres religion, hvis de egne kæledyr, hvis de har børn, deres alder, køn, osv. Det er også inkluderet interesser, såsom dykning og plus-size tøj, per Wired.
Især, finansielle oplysninger og cpr-numre, der blev ikke fundet i databasen. (Du behøver ikke bekymre dig, alle disse oplysninger er sandsynligvis allerede udsat af Equifax sidste år.) Det betyder ikke, at de oplysninger, der ikke har værdi, selv om. Var disse oplysninger har været åbnet af en ondsindet skuespiller, kan de nemt parret med tidligere brud på at skabe en endnu mere komplet profil af en person eller bruge det til at foretage social engineering-angreb.
Der er masser af bekymrende ting om Exactis læk, og ikke mindst er den store bredde af information udsat for. For det første er der spørgsmålet om, hvor denne lille marketing firma baseret i Palm Coast, Florida fik sine hænder på den personlige interesser og kontaktoplysninger for hundredvis af millioner af Amerikanere.
Troia sagde, at han ikke ved, hvor data kommer fra præcis, men kaldte det “et af de mest omfattende samlinger”, han nogensinde har set. Marc Rotenberg, administrerende direktør i nonprofit Electronic Privacy Information Center, teoretiseret, til Wired, at de oplysninger, der kan være kommet fra en række forskellige kilder, herunder magasin abonnementer, transaktion med kreditkort data, og kredit rapporter.
Så er der det faktum, at ingen har nogen idé, hvis denne massive database blev læst af alle inden Troia. Kun Exactis ville have nogen idé om hvor lang tid serveren har sat ubeskyttet, og kunne se, hvem der adgang til det. Selskabet har endnu ikke offentligt reageret på lækagen og ikke reagere på anmodninger om en kommentar.
Odds er, at en person—en hacker eller bare en tilfældig person—sandsynligvis stødt på serveren, før Troia. Sikkerheds-forsker har fundet den database, mens du bruger søgefunktionen Shodan, der giver næsten alle til at scanne offentligt tilgængeligt internet-tilsluttede enheder. Alle med adgang til de samme værktøjer kunne have lige så let opdaget den samme server Troia fundet.
Disse typer af utætheder, hvor en server, der indeholder følsomme oplysninger, der er tilbage usikrede, ske med overraskende regelmæssighed. En konservativ data firma ved et uheld lækket oplysninger om mere end 200 millioner Amerikanere sidste år. 12,000 sociale medier, meningsdannere, der havde deres oplysninger, som er udsat i en lignende uheld, som gjorde OS militære veteraner og offentlige entreprenører. Alt dette går for at vise, at virksomheder i branchen om indsamling af data er ikke i branchen for at beskytte det.
[Kabel]