alexandr_palkin (alexandr_palkin) wrote,
alexandr_palkin
alexandr_palkin

В открытый доступ утекли персональные данные практически обо всех (!) взрослых США (~340 млн записей

Вы ни­ко­гда не слы­ша­ли о мар­ке­тин­го­вой фирме Exactis? А при­дет­ся, осо­бен­но если Вы аме­ри­ка­нец. Этой скром­ной кон­то­рой до­пу­ще­на утечка пер­со­наль­ных данных о при­мер­но 340 мил­ли­о­нах (трех­ста сорока мил­ли­о­нах) жи­те­лей Се­ве­ро­аме­ри­кан­ских Со­еди­нен­ных штатов. Вопрос о том, откуда у этой фирмы вообще по­яви­лись такие данные, открыт.

Рас­смот­рим утечку по­дроб­нее. Где-то в этом месяце ис­сле­до­ва­тель Vinny Troia об­на­ру­жил, что Exactis хранил вы­ше­упо­мя­ну­тое ко­ли­че­ство за­пи­сей на пуб­лич­ном сер­ве­ре на основе СУБД ElasticSearch с на­строй­ка­ми по умол­ча­нию, без эле­мен­тар­ной защиты FireWall'ом: т.е. доступ к БД был раз­ре­шен всем же­ла­ю­щим.

БД со­сто­я­ла из двух частей по 230 мил­ли­о­нов за­пи­сей о по­тре­би­те­лях и 110 мил­ли­о­нах де­ло­вых кон­так­тов; весила около 2х те­ра­байт. Со­дер­жа­ла около 400 об­шир­ных ха­рак­те­ри­стик субъ­ек­тов, вклю­чая ре­ли­гию, пред­по­чте­ния в одежде, данные о до­маш­них пи­том­цах и прочее. Эти данные рас­ши­ря­ют про­стран­ство для мо­шен­ни­че­ских ма­ни­пу­ля­ций с про­стым Джо до аст­ро­но­ми­че­ских, хех, зна­че­ний. Смот­ри­те сами: при про­вер­ке десяти слу­чай­ных че­ло­век под­твер­ди­лась вся ин­фор­ма­ция о шести из них, и боль­шая часть этой ин­фор­ма­ции крайне ценна для любого со­ци­аль­но­го ин­же­не­ра. Гра­мот­ный мо­шен­ник с этой базой может, в том числе, при­ки­ды­вать­ся род­ствен­ни­ком.

Шансов, что данные никто не за­гру­зил, прак­ти­че­ски нет. Рус­ские хакеры©®™ не дрем­лют©.

Далее стан­дарт­ная ис­то­рия, г-н Troia свя­зал­ся с фирмой и с ФБР, Exactis молчит о про­ис­хо­дя­щем и не дает ком­мен­та­ри­ев.

Ав­тор­ство:
Ав­тор­ская работа / пе­ре­во­ди­ка
Ком­мен­та­рий автора:

Стоит от­ме­тить ком­мен­та­рий Ано­ни­м84701 из об­суж­де­ния на opennet'e

>  340 млн за­пи­сей и имела размер почти 2 Тб

Итого имеем ~6KB на запись, т.е. 4 "услов­но стан­дарт­ные  стра­ни­цы" по 1800 знаков или при­мер­но 2 раза текст но­во­сти.
Это вообще-то очень много ин­фор­ма­ции о кон­крет­ном че­ло­ве­ке, осо­бен­но исходя из того, что она там далеко не в виде записи "Когда Петя был ма­лень­ким, он любил гулять и шо­ко­лад­ное мо­ро­жен­ное с клуб­нич­ны­ми слив­ка­ми!".
В общем,  учи­ты­вая, что эта ин­фор­ма­ция будет от­лич­ным под­спо­рьем для вся­ко­го рода кидал, мо­шен­ни­ков и прочих афе­ри­стов, то
> При­чи­ной утечки стала ненад­ле­жа­щая на­строй­ка сер­вер­но­го ПО

эпично. Просто эпично. Небось еще и замять без особых потерь сумеют.



https://aftershock.news/?q=node%2F660674&full#.77fb7af6b5d.livejournal

Tags: Интернет, Информационная безопасность, Киберпреступность, США
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments