Персональная информация миллионов американцев оказалась в открытом доступе в незащищенной базе данных. Об этом сообщил ИБ-эксперт Винни Троя (Vinny Troia) после изучения выборки интернет-серверов под управлением движка ElasticSearch. Как сообщает исследователь, утечку конфиденциальных сведений допустила маркетинговая компания Exactis.

Аналитик использовал сервис Shodan для поиска открытых баз данных ElasticSearch. Проанализировав порядка 7000 таких хранилищ, Троя наткнулся на совершенно незащищенную подборку, которая содержала 340 млн записей.

В распоряжении специалиста оказались 2 терабайта данных, куда входили имена, домашние адреса и телефонные номера граждан США. Кроме того, выборка содержала информацию о миллионах американских предприятий и организаций. Проверка показала, что сведения в базе соответствуют действительности, но в ряде случаев устарели.

Помимо анкетных данных, массив информации включал в себя широкий спектр дополнительных метрик, таких как отношение к курению, сведения о домашних животных, религиозные убеждения и интересы человека. Скорее всего, база Exactis собиралась преимущественно из публичных источников, таких как социальные сети или профили пользователей на сайтах знакомств. Однако не исключено, что часть полей заполнялась на основании закрытых кредитных отчетов или перечней подписчиков периодических изданий.

Исследователь сообщил о своей находке в ФБР и журналистам. Exactis пока никак не отреагировала на запросы прессы относительно утечки. В данный момент компания закрыла доступ к скомпрометированной базе данных. Неизвестно, сколько времени персональные сведения оставались открытыми и скачал ли их кто-нибудь, кроме ИБ-эксперта.

Exactis специализируется на сборе информации, которая может быть использована в рекламных кампаниях. На своем сайте компания сообщает, что обладает данными о 280 млн частных лиц и 110 млн американских домохозяйств. По словам агентства, всего в его базе содержится около 3,5 млрд записей.

«Вероятность финансового мошенничества в случае утечки невелика, — заявил по этому поводу исполнительный директор Электронного центра конфиденциальности информации Марк Ротенберг (Marc Rotenberg), — однако возможность криминального использования скомпрометированной информации остается».

Как считают специалисты, сведения, которыми обладает Exactis, открывают злоумышленникам пути для организации мошеннических кампаний, основанных на методах социальной инженерии.

Если утечка подтвердится, она превысит по своим масштабам кражу данных с серверов агентства Equifax, в результате которой пострадали 145 млн жителей США. И хотя новый инцидент не сравнится с 3 млрд учетных записей, похищенных у Yahoo, последствия его могут быть значительно серьезнее.

Категории: Аналитика, Главное, Кибероборона