Согласно информации издания Wired, специалисты в области информационной безопасности Винни Троя (Vinny Troia) и Боб Дьяченко (Bob Diachenko) обнаружили в сети открытый Elasticsearch-сервер, содержащий 1,2 млрд записей общим размером четыре терабайта. Сервер был расположен на площадке Google Cloud Service (у него был IP-адрес 35.199.58.125).
Elasticsearch — это масштабируемый полнотекстовый поисковый и аналитический поисковый движок с открытым исходным кодом, позволяющий хранить большие объемы данных, проводить среди них быстрый поиск и аналитику.
По данным телеграм-канала dataleak и системы Shodan, впервые этот сервер появился в свободном доступе 4 октября 2019 года, а в последний раз этот открытый сервер был зафиксирован системой BinaryEdge 17 октября 2019 года. Кому именно принадлежал этот сервер с IP-адресом 35.199.58.125 на данный момент установить не удалось.Так же нет возможности уточнить информацию о том, нашел ли кто-либо еще этот сервер, и были ли скопированы данные с этого сервера кем-то ранее.
Винни Троя и Боб Дьяченко смогли попасть на этот сервер 16 ноября 2019 года, где они обнаружили коллекцию из четырех баз данных с публичными персональными данными сотен миллионов людей, собранные напрямую или полученные другими способами из профилей социальных сетей и платформ, включая Facebook, Twitter, Github и LinkedIn. Так же на сервере хранились почти 50 млн уникальных номеров телефонов и 622 млн уникальных адресов электронной почты.
На найденном в сети сервере были обнаружены следующие индексы баз данных:
- pdl_20190912;
- pdl_20190924;
- nx-locations-v1;
- nx-locations-v2;
- nx-locations-suggest-v2;
- oxy_20190918.
Оказалось, что на этом случайно или специально открытом для любых пользователей в сети на две недели в октябре 2019 года Elasticsearch-сервере хранились несколько гигантских массивов данных, часть из которых являлись копиями баз данных, которые ранее собрали две компании — «People Data Labs» и «Oxydata», занимающиеся поиском, оптимизацией, анализом, сбором разных данных в сети и их перепродажей.
Шон Торн (Sean Thorne), сооснователь компании People Data Labs (PDL), заявил, что этот сервер не принадлежит им, и в PDL также не знают, как и кем их собранные ранее данные смогли быть скопированы на этот сервер.
Мартинас Симанаускас (Martynas Simanauskas), директор по корпоративным продажам компании Oxydata, подчеркнул, что также не знают об этом сервере и не помечают свои данные тегом «OXY». «Судя по структуре данных, очевидно, что база данных, найденная на этом сервере, является рабочим продуктом третьей стороны, который анализирует и сводит массивы данных из разных источников», — сообщил Мартинас Симанаускас.
На данный момент считается, что это был самый большой объем публичных пользовательских данных, собранных из разных сервисов и порталов напрямую или украденных с них и размещенный на одном сервере в сети. Уже более десяти лет злоумышленники в сети в автоматическом режиме собирают любые доступные личные данные пользователей, в том числе используя разные фишинговые и другие системы для обмана пользователей. Это целый черный рынок добытых открыто, украденных и пересортированных по определенным параметрам данных пользователей, которые используются для взлома учетных записей, кражи денег и других нелегальных действий в сети.
Какие данные были в этой сборной коллекции в одном месте: профили пользователей, включая номера домашних и сотовых телефонов, связанные профили в социальных сетях, история по местам работы, адреса электронной почты.
Каких данных пользователей не было на этом сервере: паролей, номеров и других данных кредитных карт, номеров социального страхования.
Пример данных, которые Винни Трой нашел про себя в этой коллекции:
«Я впервые столкнулся с единой базой данных такого масштаба, где профили из разных социальных сетей собраны и объединены с информацией по их общему пользователю, у злоумышленников есть на вас все — данные пользователя, номера телефонов и URL-адреса соответствующих учетных записей и еще много информации в одном месте, тем более, что этот сервер легко можно было найти и получить к нему доступ», — рассказал Винни Трой.
«Что особо выделяется в этом инциденте, так это объем собранных данных и то, как они агрегируются, хранятся и коммерциализируются без ведома владельцев данных. Даже моя личная информация находится там», — заявил Трой Хант, специалист по информационной безопасности и создатель HaveIBeenPwned (HIBP).
«Хотя пароли, номера кредитных карт и личные данные пользователей являются наиболее очевидной целью для мошенников, нельзя недооценивать значимость публичных данных, которые помогают формировать профили потребителей и оставляются ими на многих порталах и в социальных сетях. Учитывая гигантский рост этого количества данных, кто-то найдет способ использовать даже самые обыденные элементы информации», — подытожил Харрисон Ван Рипер, аналитик компании Digital Shadows.
