Bericht: Detaillierte persönliche Aufzeichnungen von 188 Millionen Menschen, die im Internet offengelegt wurden
Wir haben eine Datenbank entdeckt, die fast enthält188 Millionen Datensätzepersonenbezogener Daten, die im Internet offengelegt werden und für jeden mit einer Internetverbindung zugänglich sind.
Comparitech hat zusammen mit dem Sicherheitsforscher Bob Diachenko am 18. Juni 2019 die offengelegte MongoDB-Datenbank aufgedeckt.
Einige der Datensätze scheinen von Pipl.com und LexisNexis zu stammen, den Websites für Personensuche bzw. juristische Suche. Die von Pipl.com stammenden Datensätze, der Großteil der Daten, enthielten einige oder alle der folgenden Informationen:
- Vor-und Nachname
- Aliase und früherer Name
- E-Mail-Adresse
- Physikalische Adresse
- Geburtsdatum
- Gerichts- und Insolvenzvermerke
- Telefonnummer
- Links zu Social-Media-Profilen
- Politische Zugehörigkeiten
- Wettrennen
- Religion
- Fähigkeiten
- Geschlecht
- Arbeitgeber früher und heute
- Autos und Immobilien
Etwa 800.000 der Datensätze scheinen von LexisNexis zu stammen, einer juristischen Suchmaschine. Zu diesen Aufzeichnungen gehörten Namen, frühere Namen, Adressen, Geschlecht, Elternstatus, eine kurze Biografie, Familienmitglieder, redigierte E-Mails und Informationen über die Nachbarn der Person, einschließlich vollständiger Namen, Geburtsdaten, Reputationswerte und Adressen.
Sie wurde erstmals am 17. Juni von Suchmaschinen indiziert. Wir haben die Datenbank auf ein Github-Repo für eine Personensuch-API namens thedatarepo zurückgeführt. Wir haben den Eigentümer der Datenbank umgehend benachrichtigt, sobald er feststellen konnte, wem die Datenbank gehört. Der Eigentümer sperrte daraufhin am 3. Juli 2019 den Zugang.
Wir wissen nicht, ob jemand anderes unberechtigten Zugriff auf die Datenbank erlangt hat.
Wessen Daten wurden offengelegt?
Thedatarepo verfügt über eine eigene Webdomain, die Website ist jedoch zum Zeitpunkt des Verfassens dieses Artikels nicht verfügbar. Den „dataSource“-Feldern in der Datenbank nach zu urteilen, sieht es so aus, als hätten die Ersteller der API die Daten entweder abgekratzt oder von Pipl und LexisNexis gekauftEs ist unwahrscheinlich, dass Pipl und LexisNexis tatsächlich verletzt wurden.Viele der über diese Suchtools gefundenen persönlichen Informationen sind öffentlich verfügbar, obwohl normale Benutzer jeweils nur einen Datensatz anzeigen können.
Das Github-Repo lieferte Beispiele dafür, wie die API hätte verwendet werden können, um beispielsweise Personen anhand ihres Namens oder ihres Autos zu suchen. Die letzte Aktualisierung erfolgte am 18. Juni 2019. Darin ist eine E-Mail aufgeführt, mit der Benutzer „Massendatenkäufe und/oder Zugriff auf weitere Daten/Anfragen“ anfordern können.
Datenbroker wie Pipl beziehen persönliche Informationen aus einer Vielzahl öffentlicher und proprietärer Quellen. Zu diesem Zweck bitten sie nicht um Zustimmung und benachrichtigen die Datensatzinhaber nicht darüber, dass sie Teil einer Datenbank sind. Wenn Sie in den USA leben, ist die Wahrscheinlichkeit groß, dass Sie auf Datenbroker- und Personensuchseiten wie Pipl, ZabaSearch, WhitePages.com, Wink und PeekYou gefunden werden.
Leider macht Pipl das Entfernen Ihrer persönlichen Daten nicht einfach. Sich von der Verantwortung entbindend, Pipl Zustände es aggregiert lediglich Informationen aus Drittquellen. Wenn Sie möchten, dass eine Information aus Pipl entfernt wird, müssen Sie zur Originalquelle gehen und sie von dort entfernen. Aber da es sich bei Pipl mittlerweile um einen kostenpflichtigen Dienst handelt (es bietet kein kostenloses Tool zur Personensuche mehr), sind Opfer daran gehindert, ihre eigenen Informationen und deren Herkunft einzusehen.
Offengelegte Datenbanken stellen ein großes Risiko dar
Datenbanken mit persönlichen Informationen, die im Internet offengelegt werden, stellen ein großes Risiko dar, sagt Diachenko, der mit Comparitech bei der Sicherheitsforschung zusammenarbeitet. Es besteht nicht nur die Gefahr, dass personenbezogene Daten gestohlen werden; Die Datenbank selbst kann gekapert werden:
„Ich habe zuvor berichtet, dass die fehlende Authentifizierung die Installation von Malware oder Ransomware auf den MongoDB-Servern ermöglicht. Die öffentliche Konfiguration bietet Cyberkriminellen die Möglichkeit, das gesamte System mit vollständigen Administratorrechten zu verwalten. Sobald die Malware installiert ist, könnten Kriminelle aus der Ferne auf die Serverressourcen zugreifen und sogar eine Codeausführung starten, um alle auf dem Server gespeicherten Daten zu stehlen oder vollständig zu zerstören.“
Die Personen, deren Informationen durchgesickert sind, könnten gezieltem Phishing und Identitätsbetrug ausgesetzt sein. Wir empfehlen Lernen So erkennen Sie Phishing-E-Mails um sicher zu bleiben.
LexisNexis wurde in der Vergangenheit bereits zweimal angegriffen, einmal im Jahr 2005 und einmal im Jahr 2013. Das erste Mal 310.000 Datensätze geleakt Enthält persönliche Informationen wie Namen, Adressen, Sozialversicherungsnummern und Führerscheinnummern. Wie viele Datensätze es gab, gab LexisNexis nicht bekannt im Jahr 2013 verletzt , aber diese Daten enthielten angeblich SSNs, Hintergrundberichte und andere Details über Millionen von Amerikanern.
Comparitech wird diesen Artikel aktualisieren, wenn wir weitere Details entdecken, die es zu melden gilt.