به گزارش محققان امنیتی Data Viper، یک سرور افشاشدهی Elasticsearch حاوی دادههای مربوط به بیش از ۱٫۲ میلیارد کاربر است. طبق گزارشها، دو محقق امنیتی به نامهای «باب دیاچنکو» و «وینی ترویا» ماه گذشته کشف کردند که این سرور بدون احراز هویت قابلدسترسی بوده و حاوی ۴ میلیارد حساب کاربری با حجم بیش از ۴ ترابایت داده است.
تجزیهوتحلیل این دادهها نشان میدهد که مربوط به بیش از ۱٫۲ میلیارد کاربر منحصربهفرد بوده و شامل اسامی، آدرسهای ایمیل، شمارهی تلفنها و اطلاعات پروفایل لینکدین و فیسبوک هستند. تحقیقات بیشتر محققان را به این نتیجه رساند که این دادهها از دو شرکت (data enrichment) مختلف حاصل شده است. بنابراین، این نشت اطلاعاتی در واقع نشاندهندهی دادههای جمعآوری شده از منابع مختلف و بهروزشده است. از آنجایی که اکثر این دادهها در ۴ شاخص دادهی جداگانه با برچسبهای PDL و OXY ذخیره شده بودند، محققان دریافتند که این برچسبها به دو شرکت People Data Labs و OxyData تعلق دارند.
تجزیهوتحلیل نزدیک به ۳ میلیارد سوابق کاربری موجود در این سرور با برچسب PDL، نشاندهندهی وجود دادهی حدود ۱٫۲ میلیارد کاربر منحصربهفرد و همچنین، ۶۵۰ میلیون آدرس ایمیل منحصربهفرد است. این تعداد نهتنها مطابق با آماری است که شرکت People Data Labs در وبسایت خود ارائه کرده است، بلکه محققان توانستند تأیید کنند که دادههای موجود بر روی سرور تقریباً با اطلاعات گزارششده توسط رابط کاربردی برنامهنویسی این شرکت نیز یکسان است. به گفتهی محققان، تنها تفاوت موجود مربوط به دادههای سوابق آموزشی است. هیچ اطلاعات آموزشی در هیچ یک از دادههای دانلودشده از سرور وجود ندارد.
وینی ترویا همچنین اطلاعاتی افشاشده در مورد شمارهی تلفن ثابتی را كه تقریباً ۱۰ سال پیش بهعنوان بخشی از یک مجموعهی تلویزیونی AT&T به او داده شده بود، کشف كرد. اگرچه این خط تلفن ثابت هرگز مورد استفاده قرار نگرفت، اما اطلاعات مربوط به آن در مشخصات محقق موجود بوده و در مجموعهی دادههایی که وبسایت PeopleDataLabs.com در مورد وی درج کرده بود، گنجانده شده بود. شرکت People Data Labs به محققان اعلام کرد، این سرور افشاشده که بر روی گوگل کلود ذخیره شده است، متعلق به آن نیست. بااینحال، دادهها بهوضوح توسط این شرکت تهیه شدهاند.
محققان همچنین اعلام کردند که برخی از اطلاعات موجود در سرور افشاشدهی Elasticsearch، توسط شرکت OxyData تهیه شدهاند، اگرچه این شرکت نیز مالکیت این سرور را انکار کرده است. ترویا پس از دریافت نسخهای از سوابق کاربری خود از این شرکت، تأیید کرد که اطلاعات فاششده از آنجا آمدهاند.
محققان هنوز نتوانستهاند مشخص کنند که چهکسی مسئول نشت اطلاعات این سرور در اینترنت است، اما حدس میزنند که ممکن است کار یکی از مشتریان شرکتهای People Data Labs و OxyData باشد و این دادهها ممکن است بهجای سرقت، مورد سوءاستفاده قرار گرفته باشند. به گفتهی محققان، تعداد زیاد دادههای شخصی موجود، همراه با پیچیدگی در شناسایی صاحب اطلاعات، اثربخشی قوانین فعلی در رابطه با حفظ حریم خصوصی و اطلاعیههای نقض داده را زیر سؤال میبرد.