В открытом доступе появилась база, в которой содержатся подробные сведения о пользователях соцсетей и других популярных ресурсов. Утечка затрагивает тех, кто зарегистрирован в Facebook, Twitter, LinkedIn и Github.

В общей сложности в базе содержатся записи об 1,2 млрд пользователей. Её объём — 4 терабайта. В этой утечке в основном агрегированы сведения, которые и так были доступны открыто (то есть фактически просто скопированы профили пользователей и содержимое их личных страниц). Тем не менее, там также собраны номера их телефонов и другая личная информация, которая была закрыта настройками приватности. Паролей от учётных записей и платёжной информации в базе нет.

Утечку нашли эксперты по кибербезопасности Винни Троя и Боб Дьяченко с помощью сканирующих сервисов BinaryEdge и Shodan. Они выяснили, что база располагается на сервере с IP-адресом Google Cloud. Скачал ли её кто-либо ещё прежде, чем она была обнаружена ИБ-специалистами, неизвестно, но найти её не составило им большого труда. Троя сообщил о своей находке в ФБР, и спустя несколько часов доступ к этой базе был закрыт.
«Плохо, что кто-то собрал такую базу и выложил её в открытый доступ. Я впервые вижу такой огромный массив данных с профилями, собранными из различных социальных сетей. Этот файл предоставляет злоумышленникам возможность деанонимизировать людей или взламывать их учётные записи, поскольку там можно увидеть их имена, телефонные номера и ссылки на их профили. Это огромный объём информации, с которой можно начать атаку на пользователя», — заявил Винни Троя.


Имя файла с базой указывает на компанию People Data Labs из Сан-Франциско, но её основатель Шон Торн отрицает причастность к утечке.
«Владелец этого сервера, скорее всего, использовал один из наших продуктов. После того, как клиент получает данные от нас или любого другого провайдера, они хранятся на его серверах, и их сохранность — его забота. Мы предоставляем большинству клиентов бесплатные консультации аудит и поддержку», — сказал Шон Торн.
На сайте People Data Labs указано, что компания продаёт данные 1,5 млрд людей по всему миру, в том числе 260 млн жителей США. Она предлагает более миллиарда персонифицированных адресов электронной почты, более 420 миллионов ссылок на профили LinkedIn, более миллиарда ссылок на профили Facebook и более 400 миллионов телефонных номеров, включая 200 миллионов валидных номеров из США.

Троя не считает, что данные были похищены у People Data Labs, поскольку было бы проще купить их у компании, а если денег на полную базу недостаточно, можно было бы оформить бесплатную подписку на ежемесячное получение информации о тысяче пользователей. Троя также отмечает, что в некоторых записях содержится отметка OXY, которая может указывать на брокера данных Oxydata из Айоминга. Известно, что эта компания собрала 4-терабайтную базу с 380 млн профилей работодателей и клиентов в 85 сферах деятельности из 195 стран мира. Представитель Oxydata отрицает утечку данных из компании.

Винни Троя предоставил базу основателю сервиса Have I Been Pwned? Трою Ханту, и тот пополнил свой репозиторий утечек 622 млн уникальных записей с адресами электронной почты и другими данными.

Этот инцидент в очередной раз доказал, что в бесплатных сервисах товаром является сам пользователь. Все его данные, которыми он добровольно поделился в соцсетях, представляют определённую ценность, а тот, кто их купит, с большой долей вероятности будет использовать их против него самого.




iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
У нас есть подкаст и его видео-версия

Источник:

Wired Wired