まあ、これは確かに素晴らしいことではありません。「ソーシャル メディア アカウント、電子メール アドレス、電話番号」を含む、インターネット上の 10 億を超えるユーザーの記録が含まれる保護されていないデータベースが、正体不明の Elasticsearch サーバー上で発見されました。サーバーの Web アドレスを知っている人なら誰でも。
さらに奇妙なのは、ブルームバーグによると、それがどのようにしてそこに到達したかを正確に知る人は誰もいません。
発見10月に作られたサイバーセキュリティ専門家のボブ・ディアチェンコ氏とヴィニー・トロイア氏による。彼らが発見した 4 テラバイトのデータには、Facebook、Twitter、LinkedIn のプロフィール情報も含まれていました。全体として、サーバーには 40 億のユーザー アカウントと 6 億 5,000 万の一意の電子メール アドレスに関する情報が含まれており、12 億人に影響を与えました。
としてワイヤード指摘するただし、データの役割を念頭に置くことが重要です。ないパスワードやクレジット カード番号などが含まれます。だから、少なくともそれはあります!トロイアも言ってたワイヤードサーバーはオンラインではなくなっており、その存在を FBI に報告したとのこと。
データがどのようにしてこのサーバーに置かれたのかは不明ですが、Troia が明らかにできたことがいくつかあります。まず、データは複数のデータセットから取得されたもののようで、その一部は「データ エンリッチメント」を提供するデータ ブローカーの People Data Labs (PDL) からのものでした。 (TL;DR: インターネット ユーザーに関するデータ ポイントを提供するため、ブランドはこれらのユーザーをターゲットにしたより具体的なコンテンツを作成できます。)
次に、情報が見つかったサーバーは PDL に属していませんでした。 Troia の報告によると、PDL は自社のサーバーに「アマゾン ウェブ サービスを使用しているようだ」が、謎のデータを満載したサーバーは、やはり保護されずに Google のクラウド サービス上に常駐していました。サーバーもデータも Google によって管理されていませんでした。
マッシュ可能な光の速度
トロイア氏とピープル・データ・ラボ(PDL)の共同創設者ショーン・ソーン氏はともに、次のように述べた。ワイヤードこのデータはおそらく PDL の侵害によって取得されたものではなく、データ強化の目的でデータを購入し、保護されずに放置された顧客によって合法的に取得された可能性があります。
ソーン氏は次のように述べています。「このサーバーの所有者は、他の多くのデータ エンリッチメント サービスまたはライセンス サービスとともに、当社のエンリッチメント製品の 1 つを使用した可能性があります。顧客が当社または他のデータプロバイダーからデータを受け取ると、データは顧客のサーバー上に置かれ、セキュリティは顧客の責任となります。」
見つけたデータと PDL が持っていたデータを比較するために、トロイアは月あたり 1,000 件の検索を含む無料アカウントを作成し、PDL 検索からの数十人を保護されていないサーバーからのデータと照合しました。彼はほぼ完全に一致するものを発見し、PDL がデータの多くのソースであるという彼の理論を裏付けました。見つかったデータのうち、ユーザーの学歴情報のみが除外されました。
トロイアも言ってたワイヤードデータの一部は別のデータ ブローカーである Oxydata からのものである可能性がありますが、Oxydata はデータ侵害が発生したことを否定しています。つまり、データも完全に合法的に取得された可能性があります。
もう一つの公共奉仕行為として、トロイアは情報交換所に侵入するためのデータを提供しました。私はPwnedを取得しましたこれにより、ユーザーは自分のアカウントが侵害されているかどうかを確認できます。
Troia 氏が指摘するように、最も恐ろしいのは、これが本当に合法的に取得されたデータの重大な管理ミスである場合、侵害に対する責任を誰かに問うという点では、できることがほとんどないことです。
「明らかにプライバシー上の懸念があるため、クラウドプロバイダーは顧客に関する情報を一切共有せず、これは行き詰まりです。」トロイは書いています。 「FBIのような機関は、法的手続き(政府による正式な要請の一種)を通じてこの情報を要求することができるが、特定された組織に侵害の開示を強制する権限はない。」
私たちは Google にコメントを求めましたが、この件全体について Google が私たちの気分を良くするようなことを言えるかどうかは疑わしいです。