Облачная база данных раскрыла информации о 80 миллионах американских семей
Независимые исследователи обнаружили, что, в результате атаки на частную жизнь, адреса и демографические данные более 80 миллионов американских домохозяйств были раскрыты в незащищенной базе данных, хранящейся в облаке. В кеш включена подробная информация пользователей.
Перечисленные данные включали имена, возраст и пол, а также уровень доходов и семейное положение. Исследователи во главе с Ноамом Ротемом и Ран Локаром не смогли определить владельца базы данных, которая до понедельника была в сети и не требовала пароля для доступа. Часть информации была закодирована, например, пол, семейное положение и уровень дохода. Имена, возраст и адрес не были закодированы. Об этом сообщает Информатор Tech со ссылкой на CNET.
Данные не включают информацию об оплате или номера социального страхования. По данным Statista, 80 миллионов пострадавших домохозяйств составляют более половины пользователей в США. «Я бы не хотел, чтобы мои данные были представлены таким образом», - сказал Ротем в интервью CNET. "Это не должно быть там."
По его словам, Ротем и его команда проверили точность некоторых данных в кеше, но не загрузили их, чтобы минимизировать нарушение конфиденциальности перечисленных данных. Это еще один пример широко распространенной проблемы с облачным хранилищем данных, которая коренным образом изменила способы хранения ценной информации. Многие организации не имеют опыта для защиты данных, которые они хранят на серверах, подключенных к интернету, что приводит к повторному раскрытию конфиденциальных данных. Ранее в апреле исследователь обнаружил, что информация о пациентах из центров лечения наркомании была размещена в незащищенной базе данных. Другой исследователь обнаружил гигантский кеш пользовательских данных Facebook, хранящихся сторонними компаниями в другой базе данных, которая была общедоступна.
В отличие от хакеров, вам не нужно взламывать компьютерную систему для доступа к открытой базе данных. Вам просто нужно найти IP-адрес, цифровой код, присвоенный любой данной веб-странице. Однако нет никаких признаков того, что информация в этой базе данных была доступна злоумышленникам. Для исследования Rotem и Locar сотрудничают с VPNmentor, израильской компанией, которая рассматривает продукты для конфиденциальности под названием VPN и получает комиссионные, когда читатели выбирают тот сервис, который им нравится. В сообщении в блоге, опубликованном в понедельник, компания призвала общественность помочь определить, кто может владеть данными, чтобы их можно было защитить.
«80 миллионов семей, перечисленных здесь, заслуживают конфиденциальности», - говорится в сообщении компании. Ротем обнаружил, что данные хранятся в облачной службе, принадлежащей Microsoft. Защита данных зависит от организации, которая создала базу данных, а не от самой Microsoft. «Мы уведомили владельца базы данных и предпринимаем соответствующие шаги, чтобы помочь клиенту удалить данные до тех пор, пока они не будут надежно защищены», - заявил CNET в понедельник представитель Microsoft.
Ротем обнаружил, что сервер, на котором размещены данные, подключился к сети в феврале, а в апреле он обнаружил его с помощью инструментов, разработанных для поиска и каталогизации незащищенных баз данных. В январе он также обнаружил уязвимость в широко используемой системе бронирования авиабилетов Amadeus, которая позволяла злоумышленнику просматривать и изменять бронирование авиабилетов.
Кэш демографической информации включал данные о взрослых в возрасте 40 лет и старше. Многие из перечисленных людей пожилые, что, по словам Ротема, может поставить их под угрозу из-за мошенников, склонных использовать эту информацию, чтобы попытаться обмануть их.