12/2019

Report bezpečnosti

stiahnuť PDFstiahnuť PDF

1,2 miliardy osobných údajov online na jednom serveri

  • Dáta majú hodnotu v komerčnom sektore aj dezinformačných kampaniach
  • Za dátovými únikmi sú útoky, nedostatočné zabezpečenie aj lenivosť

Rok 2019 je v znamení dátových únikov, objavov a rastúcej hodnoty informácií. Vinny Troia, výskumný pracovník temného webu (dark web), našiel na voľne prístupnom a nezabezpečenom serveri dátový poklad. Štyri terabajty osobných údajov obsahovali približne 1,2 miliardy záznamov.

Záznamy stoviek miliónov ľudí zahŕňajú pridružené profily sociálnych sietí Facebook, Twitter, LinkedIn a Github, pracovnú históriu osôb stiahnutú pravdepodobne z LinkedInu, 50 miliónov jedinečných mobilných čísiel a 622 miliónov jedinečných e-mailových adries. Takouto kombináciou údajov sa môže potenciálny útočník vydávať za inú osobu, dáta môžu byť využité na falošné profily alebo môžu pomôcť ukradnúť účty skutočným osobám na sociálnych sieťach.

Čo sa komu môže stať?

Z hľadiska osobnej bezpečnosti a finančnej ujmy každého z nás najviac ohrozuje zneužitie citlivých údajov, akými sú heslá, čísla kreditných kariet alebo čísla sociálneho zabezpečenia. „Uvedené záznamy neobsahujú tieto citlivé údaje, ale nesmieme podceňovať význam všetkých podporných údajov, ktoré pomáhajú vytvárať profily spotrebiteľov či voličov,“ upozorňuje Ivan Masný.

Skvelý biznis, lukratívny a vplyvný

Ten, kto si dáta kúpi alebo ich získa inou aj nelegálnou cestou, už vie dopredu, na čo ich použije. Môže ísť iba o komerčné ciele, akým je zvýšenie predaja produktov alebo ponuka služieb na základe správania určitej skupiny zákazníkov. Dáta sa však dajú využiť v konkurenčnom boji, je možné ich prostredníctvom získať osobný prospech alebo v tom najhoršom prípade je možné dotknuté osoby vydierať. Exponenciálne rastúca je však hodnota osobných údajov pri vytváraní falošných profilov alebo používaní kradnutých profilov v dezinformačných kampaniach, šírení hoaxov a politickom marketingu.

Výskumný tím našiel tento server cez webové skenovacie služby BinaryEdge a Shodan, ale kto zhromaždil údaje, nie je známe. Problémom je, že server sa dal ľahko nájsť a taktiež sa dal k nemu získať prístup. Rovnako sa nedá predpokladať, či ešte niekto iný našiel tento server a kto stiahol z neho všetky údaje. Pár hodín po oznámení bol server stiahnutý a dáta boli offline. Akákoľvek oficiálna autorita odmietla záležitosť komentovať.

Tri súbory údajov boli označené majiteľom servera ako pochádzajúce od marketingovej spoločnosti People Data Labs. Spoločnosť na svojej webovej stránke ponúka údaje o viac ako jeden a pol miliarde ľudí vrátane takmer 260 miliónov v USA, viac ako miliardu osobných e-mailových adries, 420 miliónov webových adries LinkedIn, miliardu ID Facebooku a vyše 400 miliónov telefónnych čísel. Spoluzakladateľ PDL Sean Thorne poprel, že by jeho spoločnosť vlastnila server, na ktorom boli zavesené údaje.

Únikoví rekordéri

Začiatkom tohto roka sa našlo na hackerských fórach 2,2 miliardy záznamov distribuovaných do niekoľkých rozhraní známych pod názvom Collections #1-5. V marci spoločnosť Verifications.io, ktorá sa zaoberá e-mailovým marketingom, nechala verejne prístupných 809 miliónov záznamov. V roku 2018 unikla marketingovej spoločnosti Exactis databáza s 340 miliónmi osobných záznamov.

Medzi rekordné úniky za rok 2019 patrí ten, ktorý vznikol nedostatočným zabezpečením v spoločnosti Adobe a uniklo 7,5 milióna záznamov. Japonský Amazon doteraz nepotvrdil objem a okrem toho utrpel všeobecnú hanbu, keďže únik nastal „accidentally published“. Prvú tohoročnú trojku nešťastníkov uzatvára bulharská vládna inštitúcia National Revenue Agency (NRA), odkiaľ po hackerskom útoku uniklo viacej ako 5 miliónov záznamov vrátane celých mien, čísiel dokladov, daňových informácií, informácií o pôžičkách, zdravotných a sociálnych záznamov a dokonca údaje o online registrovaných hráčoch.

Podľa hodnotenia spoločnosti Verizon 60 miliónov záznamov uniklo pre zlú konfiguráciu virtuálnych priestorov cloudových služieb*.

* Data Breach Investigation Report 2019

Informačný súhlas: Na účely merania a štatistiky návštevnosti webovej stránky používame súbory cookies. Ide o štatistické údaje o tom, kedy a ako používatelia prezerajú stránky, a tieto údaje neidentifikujú žiadnu fyzickú osobu. Používame cookies tretích strán, ktoré sú štandardné pre daný odbor, napríklad Google Analytics. Ak chcete odmietnuť akceptáciu cookies, môžete tak urobiť v nastavení vášho prehliadača.

Rozumiem