Data Broker раскрыл более 600 000 персональных данных

База данных, связанная с SL Data Services, американским брокером данных, выложила в сеть 644 869 конфиденциальных записей. Записи включали персональную информацию, данные о владельце имущества, записи о транспортных средствах, судебные записи и документы проверки биографических данных, и у них не было защиты паролем или шифрования.

Исследователь безопасности Джеремайя Фаулер обнаружил уязвимость и сообщил об этом на сайте обзора и киберисследований WebsitePlanet. Он изучил выборку документов, хранящихся в базе данных объемом 713,1 ГБ, и сказал, что 95% из них были помечены как «проверки биографических данных».

Документы этого типа содержали полные имена, домашние адреса, номера телефонов, адреса электронной почты, информацию о занятости, членах семьи, аккаунтах в социальных сетях и истории судимостей. Фаулер подтвердил, что некоторые из названных лиц действительно жили по указанным адресам.

«Эта информация дает полную картину личности этих лиц и поднимает потенциально тревожные вопросы, касающиеся конфиденциальности», — написал он в отчете.

Фаулер считал, что отчет о недвижимости, заказанный у SL Data Services, будет храниться в базе данных, к которой клиент может получить доступ через веб-портал. Единственная проблема в том, что «если вы знаете путь к файлу, вы знаете, где хранятся документы», — сказал он TechRepublic в электронном письме.

Он добавил: «Эта компания использовала одну базу данных для нескольких доменов и не использовала никакой сегментации, кроме папок, названных по названию веб-сайта».

Доступ к базе данных был ограничен более недели после того, как Фаулер уведомил SL Data Services о раскрытии. Он смог связаться только с агентами колл-центра, которые сообщили ему, что взлом будет невозможен, поскольку компания использует SSL с 128-битным шифрованием.

За эту неделю количество содержащихся в ней записей увеличилось более чем на 150 000. Неизвестно, как долго база данных была общедоступной и обращался ли к ней кто-либо.

СМ.: Законопроект об использовании и доступе к данным: что это такое и как он влияет на британский бизнес?

Раскрытые данные подвергают людей риску фишинговых атак

Наибольшее беспокойство, связанное с раскрытыми данными, заключается в возможности, которую они создают для проведения убедительных фишинговых и социальных инженерных атак. Преступник может использовать эту информацию, чтобы выдать себя за человека, чьи данные были раскрыты в документе проверки биографических данных, или нацелиться на него.

«Преступники потенциально могут использовать информацию о членах семьи, трудоустройстве или уголовных делах, чтобы получить дополнительную конфиденциальную личную информацию, финансовые данные или создать другие угрозы конфиденциальности», — написал Фаулер в отчете.

Компании, хранящие персональные данные, должны постоянно отслеживать журналы доступа на предмет подозрительной активности, такой как массовый просмотр или загрузка файлов. Им также следует воздержаться от использования PII в системе именования файлов, поскольку неавторизованные пользователи могут прочитать их, просто открыв каталог или метаданные файла. В качестве альтернативы рекомендуется использовать случайные и хешированные идентификаторы в качестве имен файлов.

Кто такой «SL Data Services»?

Компания SL Data Services предоставляет «комплексные отчеты о недвижимости для жилой недвижимости по всей территории США» и была основана в 2023 году, согласно ее аккредитованной странице Better Business Bureau. Однако некоторые отзывы указывают на мошеннические методы, когда клиенты заказывают отчет о недвижимости за 1 доллар, но затем получают последующие ежемесячные платежи со своей кредитной карты в размере до 20 долларов, несмотря на то, что они утверждают, что не давали согласия на подписку.

По словам Фаулера, SL Data Services управляет сетью из примерно 16 веб-сайтов. Это связано с тем, что папки в раскрытой базе данных были названы отдельными доменами веб-сайтов.

СМ.: 1,1 миллиона записей о сотрудниках NHS Великобритании были раскрыты из-за неправильной конфигурации Microsoft Power Pages

На странице Better Business Bureau указано альтернативное название компании «propertyrecs.com LLC», которое, по-видимому, является еще одним поставщиком записей о недвижимости. Однако Фаулер позвонил в компанию и ему сказали, что она также предоставляет проверки на наличие судимости, записи о транспортных средствах, а также записи о смерти и рождении.

Отзывы о компании на Trustpilot показывают, что с пользователей PropertyRecs часто взимается абонентская плата, на которую они намеренно не подписывались, как и в случае с SL Data Services.

Несмотря на отмену публичного доступа к базе данных, Фаулер не получил никаких известий от SL Data Services или PropertyRecs. TechRepublic также обращался к компаниям, но не получил ответа. Нет никаких подтверждений того, что раскрытая база данных принадлежит SL Data Service, PropertyRecs или стороннему подрядчику.

Поставщики информационных услуг являются основными целями для кибератак

Это не первый случай в этом году, когда поставщик информационных услуг не смог должным образом защитить свои данные. В августе хакер слил 2,7 миллиарда записей данных из National Public Data, службы проверки биографических данных, на форуме в даркнете, что стало одной из крупнейших утечек в истории.

Предполагается, что злоумышленники получили первоначальный доступ к National Public Data через родственный ресурс RecordsCheck, который размещал архив текстовых имен пользователей и паролей для различных компонентов своего сайта, включая администратора. Архив показал, что всем пользователям сайта по умолчанию был предоставлен один и тот же пароль из шести символов, но многие никогда его не меняли.

После этого компания National Public Data подала заявление о банкротстве, заявив, что не может выдержать финансовый и репутационный ущерб, нанесенный утечкой.

В 2023 году TruthFinder и Instant Checkmate, две другие компании по проверке биографических данных, подтвердили, что 20 миллионов их клиентов пострадали от утечки данных. Они утверждают, что данные были украдены из облачного хранилища бывшего поставщика услуг.

«Я видел множество примеров относительно небольшой компании с доступом к огромным объемам данных и слабой защитой данных», — сказал Фаулер TechRepublic. «Похоже, что многие брокеры данных инвестируют в данные, но не в технологию защиты данных.

«Данные ценны, и с каждым годом все больше компаний начинают заниматься сбором, распространением и продажей информации. Когда стартапы выходят на рынок, как и любой бизнес, они фокусируются на продажах и доходах и часто не создают защищенную инфраструктуру для управления и доставки своих данных.

«Когда дело касается персональных данных, должны быть более высокие стандарты и ответственность, и компании, выходящие на этот рынок, нуждаются в большем надзоре по очевидным причинам, и пока не будут приняты соответствующие правила, мы будем продолжать сталкиваться с подобными типами утечек данных».

Фаулер рекомендует, прежде чем подписываться на брокера данных, узнать о его методах хранения данных и частоте тестирования на проникновение или сканирования на уязвимости. «Если компания серьезно относится к защите данных, они предоставят кого-то или предоставят дополнительную информацию», — сказал он TechRepublic.