O especialista de segurança Vinny Troia estava a analisar o nível de segurança das implementações do Elasticsearch expostas on-line quando descobriu milhões de registos de cidadãos americamos expostos e sem qualquer proteção on-line.
O especialista usou o Shodan para encontrar bases de dados da Elasticsearch dos EUA expostos na internet, a consulta permitiu que ele descobrisse cerca de 7.000 instâncias. Um deles imediatamente pareceu muito interessante, um arquivo de propriedade da corretora de dados norte-americana Exactis que continha dados pessoais de consumidores e empresas.
“Earlier this month, security researcher Vinny Troia discovered that Exactis, a data broker based in Palm Coast, Florida, had exposed a database that contained close to 340 million individual records on a publicly accessible server. The haul comprises close to 2 terabytes of data that appears to include personal information on hundreds of millions of American adults, as well as millions of businesses.” reported Wired.
“While the precise number of individuals included in the data isn’t clear—and the leak doesn’t seem to contain credit card information or Social Security numbers—it does go into minute detail for each individual listed, including phone numbers, home addresses, email addresses, and other highly personal characteristics for every name.”
O arquivo continha cerca de 340 milhões de registos (230 milhões em consumidores e 110 milhões em contatos de negócios), esta é provavelmente a maior violação potencialmente já vista.
Segundo o website da Exactis, a empresa reuniu 218 milhões dados de pessoas e 110 milhões de lares.
O arquivo contém 88 milhões de registos que incluem endereços de e-mail e endereços postais, enquanto 112 milhões de registos incluem números de telefone residenciais.
Comercialmente, o arquivo contém 21 milhões de registos de empresas, 40 milhões de endereços postais, 21 milhões de endereços de e-mail, e 52 milhões números de telefones comerciais.
A boa notícia é que não foram identificados dados sobre números de segurança social e relativos a cartões de crédito.
No momento, não está claro o quanto o arquivo foi exposto, mas os especialistas acreditam que ele foi completamente exposto online. O arquivo inclui informação sore interesses, hábitos, idade e sexo de crianças e mais de 400 variáveis que vão desde religião, animais de estimação e se uma pessoa é fumadora.
Como é habito, as vítimas deverão estar atentas a campanhas de spear-phishing, uma vez que nos últimos tempos os cibercriminosos têm tirado partidas das recentes violações de dados para realizar campanhas desta natureza.
Eticamente, o especialista comunicou a falha ao FBI e à empresa, que logo após receber o incidente tomou as devidas providências de segurança.