Reading Time: 2 minutes

O especialista em segurança Vinny Troia encontrou uma enorme quantidade de dados pertencentes a milhões de americanos que ficaram expostos e sem qualquer proteção on-line.

O especialista de segurança Vinny Troia estava a analisar o nível de segurança das implementações do Elasticsearch expostas on-line quando descobriu milhões de registos de cidadãos americamos expostos e sem qualquer proteção on-line.

O especialista usou o Shodan para encontrar bases de dados da Elasticsearch dos EUA expostos na internet, a consulta permitiu que ele descobrisse cerca de 7.000 instâncias. Um deles imediatamente pareceu muito interessante, um arquivo de propriedade da corretora de dados norte-americana Exactis que continha dados pessoais de consumidores e empresas.

“Earlier this month, security researcher Vinny Troia discovered that Exactis, a data broker based in Palm Coast, Florida, had exposed a database that contained close to 340 million individual records on a publicly accessible server. The haul comprises close to 2 terabytes of data that appears to include personal information on hundreds of millions of American adults, as well as millions of businesses.” reported Wired.

“While the precise number of individuals included in the data isn’t clear—and the leak doesn’t seem to contain credit card information or Social Security numbers—it does go into minute detail for each individual listed, including phone numbers, home addresses, email addresses, and other highly personal characteristics for every name.”

O arquivo continha cerca de 340 milhões de registos (230 milhões em consumidores e 110 milhões em contatos de negócios), esta é provavelmente a maior violação potencialmente já vista.

Segundo o website da Exactis, a empresa reuniu  218 milhões dados de pessoas e 110 milhões de lares.

O arquivo contém 88 milhões de registos que incluem endereços de e-mail e endereços postais, enquanto 112 milhões de registos incluem números de telefone residenciais.

Comercialmente, o arquivo contém 21 milhões de registos de empresas, 40 milhões de endereços postais, 21 milhões de endereços de e-mail, e 52 milhões números de telefones comerciais.

A boa notícia é que não foram identificados dados sobre números de segurança social e relativos a cartões de crédito.

No momento, não está claro o quanto o arquivo foi exposto, mas os especialistas acreditam que ele foi completamente exposto online. O arquivo inclui informação sore interesses, hábitos, idade e sexo de crianças e mais de 400 variáveis que vão desde religião, animais de estimação e se uma pessoa é fumadora.

Como é habito, as vítimas deverão estar atentas a campanhas de spear-phishing, uma vez que nos últimos tempos os cibercriminosos têm tirado partidas das recentes violações de dados para realizar campanhas desta natureza.

Eticamente, o especialista comunicou a falha ao FBI e à empresa, que logo após receber o incidente tomou as devidas providências de segurança.

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.