Wyciek danych ponad miliarda ludzi (PDL / OXY)

16 października 2019 dwóch ekspertów cyberbezpieczeństwa – Bob Diachenko i Vinny Troia odkryli niezabezpieczone środowisko elasticsearch. Niestety takie sytuacje zdarzają się często. Elasticsearch nie posiada w sobie żadnych zabezpieczeń, a umożliwienie do niego dostępu z Internetu zawsze jest kiepskim pomysłem.

Okazało się, że elasticsearch trzymał w indeksach gigantyczne ilości spersonalizowanych danych, żeby być dokładnym – 4 terabajty danych. Firma, która zarządzała węzełem elasticsearcha nie jest znana, ale udało się znaleźć firmy, do których dane należą, bądź należały. Są to People Data Labs (PDL) i OxyData.io.

Większość danych była niezwykle cenna, gdyż treść była wzbogacona. Oznacza to, że dane przechowywane w indexach, w którymś momencie wcześniej poddane zostały korelacji z pomniejszymi elementami lub źródłami, tworząc w ten sposób jeden dokument ze szczegółowymi informacjami. Taki wzbogacony dokument staje się wówczas towarem sprzedawanym przez firmy takie jak PDL i OxyData. Dane w dokumentach zawierały takie informacje, jak: adresy e-mail, numery telefonów, dane osobowe, profile głównie z LinkedIn i Facebooka. Konkretne liczby z wycieku poniżej:

  • PDL
    • 1,2 miliarda unikalnych danych o ludziach
    • 650 milionów adresów e-mail
  • OxyData
    • 380 milionów danych, głównie pochodzących z LinkedIn

Pytanie jednak brzmi – skad mamy mieć pewność, że dane są prawdziwe i aktualne? Na szczęście PDL w swojej ofercie umieszcza 1000 zapytań do swojej bazy danych miesięcznie – za darmo. Korzystając z takiej możliwości, zapytania zostały wysłane do PDL, a rezultaty pokrywały się w 100% z danymi z indeksów elasticsearcha. Dane były identyczne.

Firmy PDL i OxyData zaprzeczają jakoby doszło do ataku hakerskiego lub wycieku danych z ich systemów. Środowisko, do którego dostęp udało się uzystać prawdopodobnie należy do któregoś z klientów, który dane zakupił. Będąc jednak szczerym, trudno mówić o ataku hakerskim, kiedy wszystko co trzeba zrobić, to wpisać w przeglądarce http://35.199.58.125:9200.

Oczywiście adres ten nie jest już dostępny 🙂

Właśnie dlatego nigdy nie należy używać niezabezpieczonego środowiska elasticsearch do przetwarzania danych produkcyjnych. Należy zaznaczyć, że winne nie jest oprogramowanie, ale brak jego zabezpieczeń, np. takich, jakie oferuje Energy Logserver.