1,2 miljard persoonlijke gegevens op straat na datalek

Abonneer je gratis op Techzine!

Dark web-onderzoeker Vinny Troia heeft in oktober een onbeveiligde Elasticsearch-server gevonden, met daarop 4 TB aan persoonlijke gegevens. In totaal zijn hiermee 1,2 miljard gegevens gelekt.

De data bestaat uit profielen van honderden miljoenen mensen, schrijft Wired. Die profielen bevatten onder meer telefoonnummers, geassocieerde social mediaprofielen, werkgeschiedenissen die van LinkedIn lijken te komen en bijna 622 miljoen unieke e-mailadressen.

Daarentegen bevatte de server geen gevoelige persoonlijke informatie. Er zijn dus geen wachtwoorden, creditcardgegevens of burgerservicenummers via de server gelekt.

Toch is het volgens Troia slecht dat iemand de server open heeft laten staan en vormt het zeker een beveiligingsrisico. “Als het doel is om je voor te doen als iemand of iemands account over te nemen, dan heb je namen, telefoonnummers en URL’s van geassocieerde accounts. Dat is heel veel informatie op een enkele plek om mee te beginnen.”

Eigenaar server onbekend

De server werd gevonden toen Troia met collega-beveiligingsonderzoeker Bob Diachenko zocht naar openstaande servers. Het IP-adres van deze specifieke server linkt terug naar Google Cloud Services, maar het is niet bekend wie de gegevens daar opgeslagen heeft.

Troai denkt echter dat het vier datasets zijn die gecombineerd werden, die in ieder geval deels van een datahandelaar genaamd People Data Labs komen. Drie datasets droegen namelijk een label van die handelaar. People Data Labs zegt op zijn website data te verkopen van ruim 1,5 miljard mensen, waaronder URL’s van social mediaprofielen en telefoonnummers.

Sean Throne, medeoprichter van People Data Labs, zegt dat zijn bedrijf niet de eigenaar is van de server. Troia denkt dat dit inderdaad het geval is. Hoe de data van People Data Labs op de server is gekomen, is onduidelijk.

Server is offline

Troia heeft het datalek na de vondst gemeld bij de FBI. Een paar uur later zijn de server en de data offline gehaald.

Troia kan echter niet vaststellen of iemand anders de data heeft gevonden voor hij dat deed, en of de data is gedownload. Wel zegt hij dat de server erg eenvoudig te vinden was en het gemakkelijk was om toegang te krijgen.