Segundo dois pesquisadores independentes, cerca de 4 terabytes de dados foram expostos na internet por um servidor Elasticsearch bastante inseguro
Cerca de 4 terabytes de dados de mais de 1,2 bilhão de pessoas — incluindo dados de perfis do LinkedIn e do Facebook — foram expostos na internet por um servidor Elasticsearch bastante inseguro, de acordo com uma análise feita por dois pesquisadores independentes. De acordo com eles, não se sabe quem é o proprietário do banco de dados ou se alguma das informações pessoais foi acessada por hackers ou cibercriminosos, de acordo com análise publicada por Bob Diachenko e Vinny Troia, que descobriram o servidor em outubro.
O servidor armazenou 622 milhões de endereços de e-mail, mais de 50 milhões de números de telefones, além de nomes e informações de perfis do LinkedIn e do Facebook, disseram os pesquisadores à Wired.
Um exame do servidor exposto constatou que as informações pessoais vieram de duas empresas de enriquecimento de dados, apesar de ambas afirmarem não possuir o servidor baseado em nuvem. “Procuramos regularmente bancos de dados abertos do Elasticsearch e estávamos apenas vasculhando o endereço IP, e descobrimos este e imediatamente vimos que ele tinha 4 terabytes e era um banco de dados bastante grande”, disse Troia à Information Security. “Quando começamos a investigar, encontramos muitas informações de perfis de usuários. De relance, vimos quase 4 bilhões de registros de usuários e, depois de analisá-los e deduplicar, encontramos 1,2 bilhão de registros únicos e isso é bastante grave”, completou.
Segundo o pesquisador, nenhuma senha ou autenticação foi necessária para acessar o banco de dados. Ele diz ter notificado o FBI sobre o banco de dados e, em poucas horas, alguém retirou o servidor e os dados expostos do modo online. Troia acrescentou que quando examinou mais o endereço IP, o servidor datava de novembro de 2018.
“Devido à grande quantidade de informações pessoais incluídas, combinada às complexidades que identificam o proprietário dos dados, isso tem o potencial de levantar questões sobre a eficácia de nossas leis atuais de privacidade e de notificação de violação”, escrevem Diachenko e Troia em seu relatório.
Os dois pesquisadores encontraram o banco de dados exposto em 16 de outubro como parte de um projeto de pesquisa em andamento usando a Shodan, ferramenta de descoberta de rede de código aberto. E embora o endereço IP do servidor Elasticsearch tenha sido rastreado até o Google Cloud Platform, não está claro quem é o proprietário do banco de dados ou quem é responsável por protegê-lo, disse Troia, que dirige a empresa de inteligência de ameaças Data Viper.