Foto: Colin/Wikimedia Commons
Een weinig bekende, Florida-based marketing bedrijf genaamd Exactis verantwoordelijk kunnen zijn voor een aanzienlijke hoeveelheid persoonlijke gegevens worden blootgesteld. Volgens een rapport van Wired, de firma links 340 miljoen individuele records op een openbaar toegankelijke server is dat een persoon kan hebben gekregen van ahold.
Het lek werd ontdekt eerder deze maand door security-onderzoeker Vinny Troia, oprichter van de in New York gevestigde beveiligingsbedrijf Nacht Leeuw Beveiliging. Hij meldde zijn vondst naar de FBI en Exactis eerder deze week, en terwijl het bedrijf heeft sinds beschermd de gegevens, het is onduidelijk hoe lang het zat blootgesteld.
Dus hoe slecht is het lek? Het is erg slecht! De gegevens die zijn opgeslagen op de server bedraagt ongeveer twee terabytes waarde van persoonlijke informatie.
Troia vertelde Bedrade de database van Exactis lijkt te hebben de gegevens van “vrijwel elke AMERIKAANSE burger” in het, met ongeveer 230 miljoen records op de Amerikaanse volwassenen en 110 miljoen records op ONS zakelijke contacten. Dat valt in lijn met Exactis’ eigen aanspraak op haar website gegevens op 218 miljoen individuen. Als het lek is echt zo groot als verwacht, het zou maken voor een van de grootste posities van persoonlijke informatie in de recente geschiedenis.
Deze records bevatten een verscheidenheid van data punten, zoals telefoonnummers, privé-adressen en e-mailadressen worden aangesloten op een afzonderlijke naam. Het omvatte ook meer dan 400 kenmerken omtrent een persoon, variërend van als de persoon een roker bent of niet, hun godsdienst, als ze zelf geen huisdieren, als ze kinderen hebben, hun leeftijd, geslacht, etc. Het omvatte ook belangen, zoals duiken en plus-sized kleding, per Vast.
Met name de financiële informatie en de sofi-nummers zijn niet gevonden in de database. (Maak je geen zorgen, al die informatie was waarschijnlijk al blootgesteld door Equifax vorig jaar.) Dat betekent niet dat de informatie geen waarde, dat wel. Waren deze gegevens zijn toegankelijk met een kwaadaardige acteur, kunnen ze eenvoudig koppelen met eerdere overtredingen te maken van een meer compleet profiel van een individu of gebruiken voor het uitvoeren van social engineering aanvallen.
Er zijn tal van verontrustende dingen over de Exactis lek, niet de minste daarvan is de enorme hoeveelheid informatie die blootgesteld. Ten eerste is er de vraag waar deze kleine marketing bedrijf gevestigd in Palm Coast, Florida en heeft zijn handen op de persoonlijke interesses en contactgegevens van honderden miljoenen Amerikanen.
Troia zei dat hij niet wist waar de data vandaan kwam precies, maar hij noemde het “één van de meest uitgebreide collecties” die hij ooit heeft gezien. Marc Rotenberg, uitvoerend directeur van de non-profit Electronic Privacy Information Center, theorie Vast dat de informatie kan komen uit een verscheidenheid van bronnen, met inbegrip van abonnementen op tijdschriften, credit card transactie gegevens en kredietrapporten.
Dan is er nog het feit dat niemand heeft enig idee wanneer deze enorme database is toegankelijk voor iedereen voorafgaand aan Troia. Alleen Exactis zou hebben enig idee hoe lang de server zat onbeschermd, en zou kunnen zien wie benaderd. Het bedrijf heeft nog niet publiekelijk gereageerd op het lek en heeft niet gereageerd op een verzoek om commentaar.
Odds zijn, iemand—een hacker of gewoon een willekeurig persoon waarschijnlijk gestuit op de server voordat Troia. De security-onderzoeker vond de database tijdens het gebruik van de zoekmachine Shodan, waardoor zowat iedereen te scannen voor het publiek toegankelijk is via het internet verbonden apparaten. Iedereen met toegang tot dezelfde hulpmiddelen had kunnen net zo gemakkelijk ontdekt dezelfde server Troia gevonden.
Deze types van lekken, waar een server die gevoelige informatie is onbeveiligd, gebeuren met verrassende regelmaat. Een conservatieve gegevens onderneming per ongeluk gelekte informatie over meer dan 200 miljoen Amerikanen vorig jaar. De 12.000 sociale media beïnvloeders die hun informatie blootgesteld in een soortgelijk incident, net als de AMERIKAANSE militaire veteranen en leveranciers van de overheid. Dit alles toont aan dat bedrijven in de business van het verzamelen van gegevens niet in de business van het te beschermen.
[Wired]