O bază de date aparținând companiei americane SL Data Services, broker de date, a expus online 644.869 de înregistrări sensibile fără protecție prin parolă sau criptare. Înregistrările includ informații personale identificabile (PII), detalii despre proprietăți, vehicule, dosare judiciare și documente de verificare a antecedentelor ale unor oameni din SUA.
Problema expunerii Cercetătorul în securitate Jeremiah Fowler a descoperit breșa și a raportat-o platformei WebsitePlanet. El a examinat o mostră de documente din baza de date de 713,1 GB, observând că 95% erau etichetate drept „verificări de antecedente.” Documentele conțineau informații detaliate, precum:
- Nume complete
- Adrese de domiciliu
- Numere de telefon și email-uri
- Informații despre angajare
- Membri ai familiei
- Conturi de social media
- Istoricul cazierului
Fowler a verificat că unele dintre persoanele menționate locuiau la adresele specificate, ridicând îngrijorări majore privind confidențialitatea.
Cum s-a produs expunerea Fowler a explicat că baza de date putea fi accesată doar prin cunoașterea căii fișierului. Compania utiliza aceeași bază de date pentru mai multe domenii, fără segmentare adecvată, ceea ce a facilitat accesul neautorizat.
Deși accesul a fost restricționat la o săptămână după notificarea făcută de Fowler, numărul de fișiere din bază a crescut cu peste 150.000 în acea perioadă. Nu se știe cât timp baza de date a fost public accesibilă sau dacă alte persoane au exploatat-o.
Riscurile pentru utilizatori
Principala problemă este riscul sporit de atacuri de phishing și inginerie socială. Un atacator poate utiliza informațiile expuse pentru a impersona victimele sau pentru a extrage informații financiare și personale suplimentare.
Recomandări pentru companii:
- Monitorizare constantă: Urmăriți jurnalul de acces pentru activități suspecte, precum descărcări masive.
- Evitarea utilizării PII în denumirile fișierelor: Folosiți identificatori aleatori și hash-uri pentru a proteja informațiile.
- Reguli mai stricte de protecție: Implementați criptare robustă și segmentează bazele de date.
Cine este SL Data Services?
Fondată în 2023, SL Data Services furnizează rapoarte despre proprietăți imobiliare rezidențiale în SUA. Cu toate acestea, recenziile online sugerează practici înșelătoare, cum ar fi taxe de abonament percepute fără consimțământul clar al clienților.
Jeremiah Fowler a descoperit că SL Data Services operează o rețea de aproximativ 16 site-uri web. Baza de date expusă includea directoare denumite după aceste site-uri. Deși accesul public a fost restricționat, nici SL Data Services, nici asociatul său PropertyRecs nu au răspuns solicitărilor de comentarii.
Precedente în industrie
- National Public Data: În august, un hacker a publicat 2,7 miliarde de înregistrări din această companie pe un forum de pe dark web.
- TruthFinder și Instant Checkmate: În 2023, 20 de milioane de clienți au fost afectați de o breșă, datele fiind sustrase din cloud-ul unui fost furnizor de servicii.
Jeremiah Fowler a subliniat că multe companii mici din acest domeniu prioritizează vânzările în detrimentul securității, ceea ce le face ținte vulnerabile pentru atacatori.
Concluzie
Breșa SL Data Services evidențiază nevoia urgentă de reglementări mai stricte pentru brokerii de date. Lipsa investițiilor în tehnologia de protecție a datelor și infrastructura nesigură continuă să pună în pericol confidențialitatea utilizatorilor. Înainte de a utiliza serviciile unui broker de date, este esențial să verificați metodele de stocare a datelor și măsurile de securitate implementate.