1.2 Tỷ Bản Ghi Phơi Bày Online Trong Một Máy Chủ Đơn

Trong hơn một thập kỷ, những tên trộm danh tính, kẻ lừa đảo và những người lừa đảo trực tuyến khác đã tạo ra một thị trường đen của dữ liệu người tiêu dùng bị đánh cắp và tổng hợp, được họ sử dụng để đột nhập vào tài khoản của người khác, đánh cắp tiền hoặc giả mạo họ. Vào tháng 10, nghiên cứu viên dark web Vinny Troia đã phát hiện một kho dữ liệu như vậy nằm phơi và dễ dàng truy cập trên một máy chủ không an toàn, bao gồm 4 terabyte thông tin cá nhân - khoảng 1.2 tỷ bản ghi trong tổng số.

Mặc dù bộ sưu tập này ấn tượng về lượng thông tin, nhưng dữ liệu không bao gồm thông tin nhạy cảm như mật khẩu, số thẻ tín dụng hoặc số An Sinh Xã Hội. Tuy nhiên, nó chứa hồ sơ của hàng trăm triệu người bao gồm số điện thoại cố định và di động, các hồ sơ truyền thông xã hội kết nối như Facebook, Twitter, LinkedIn và Github, lịch sử làm việc có vẻ được lấy từ LinkedIn, gần 50 triệu số điện thoại duy nhất và 622 triệu địa chỉ email duy nhất.

"Điều đáng tiếc là ai đó đã để mọi thứ mở toang như vậy," Troia nói. "Đây là lần đầu tiên tôi thấy tất cả những hồ sơ truyền thông xã hội này được thu thập và kết hợp với thông tin hồ sơ người dùng vào một cơ sở dữ liệu duy nhất trên quy mô này. Từ góc độ của một kẻ tấn công, nếu mục tiêu là giả mạo người khác hoặc chiếm đoạt tài khoản của họ, bạn có tên, số điện thoại và URL tài khoản liên quan. Đó là rất nhiều thông tin tập trung để bạn bắt đầu."

Troia phát hiện máy chủ khi tìm kiếm những sự phơi bày cùng với nhà nghiên cứu an ninh Bob Diachenko trên các dịch vụ quét web như BinaryEdge và Shodan. Địa chỉ IP của máy chủ đơn giản chỉ dẫn đến Dịch vụ Đám mây Google, vì vậy Troia không biết ai đã tích hợp dữ liệu được lưu trữ ở đó. Anh ấy cũng không biết liệu có ai khác đã tìm thấy và tải xuống dữ liệu trước khi anh ấy làm điều đó hay không, nhưng lưu ý rằng máy chủ này rất dễ tìm thấy và truy cập. MYTOUR kiểm tra sáu địa chỉ email cá nhân của mọi người trên tập dữ liệu; bốn địa chỉ email xuất hiện và trả về các hồ sơ chính xác. Troia báo cáo sự phơi bày cho các đối tác tại Cơ quan Điều tra Liên bang. Trong vài giờ, anh ấy nói, ai đó đã đưa máy chủ và dữ liệu bị phơi lộ offline. FBI từ chối bình luận về câu chuyện này.

Xuất Xứ Không Xác Định

Dữ liệu mà Troia phát hiện dường như là bốn bộ dữ liệu được kết hợp. Ba bộ được đặt tên, có thể là bởi chủ sở hữu máy chủ, được cho là đến từ một nhà môi giới dữ liệu có trụ sở tại San Francisco mang tên People Data Labs. PDL tuyên bố trên trang web của mình rằng có dữ liệu về hơn 1.5 tỷ người để bán, bao gồm gần 260 triệu người ở Mỹ. Nó cũng quảng bá hơn một tỷ địa chỉ email cá nhân, hơn 420 triệu URL LinkedIn, hơn một tỷ URL và ID Facebook và hơn 400 triệu số điện thoại, bao gồm hơn 200 triệu số điện thoại di động Mỹ hợp lệ.

Cofounder Sean Thorne của PDL cho biết công ty của ông không sở hữu máy chủ chứa dữ liệu bị phơi bày, đánh giá mà Troia đồng tình dựa trên tầm nhìn hạn chế của anh ấy. Cũng không rõ làm thế nào những bản ghi đã xuất hiện ở đó ban đầu.

"Chủ sở hữu của máy chủ này có lẽ đã sử dụng một trong những sản phẩm làm phong phú dữ liệu của chúng tôi, cùng với một số dịch vụ làm phong phú dữ liệu hoặc cấp phép khác," nói Sean Thorne, đồng sáng lập People Data Labs. "Một khi khách hàng nhận được dữ liệu từ chúng tôi hoặc bất kỳ nhà cung cấp dữ liệu nào khác, dữ liệu sẽ nằm trên máy chủ của họ và an ninh là trách nhiệm của họ. Chúng tôi thực hiện các đợt kiểm tra an ninh miễn phí, tư vấn và hội thảo với đa số khách hàng của mình."

Troia nghĩ rằng it's unlikely that People Data Labs was breached, since it would be simpler to just buy data from the company. An attacker on a budget could also sign up for a free trial that PDL advertises, offering 1,000 consumer profiles per month. "One thousand profiles to 1,000 burner accounts and you've got pretty much all of it," Troia points out.

Một trong những bộ dữ liệu khác được gắn nhãn "OXY," và mỗi bản ghi trong đó cũng chứa một nhãn "OXY." Troia đặt giả thuyết rằng điều này có thể liên quan đến Oxydata, một nhà môi giới dữ liệu có trụ sở tại Wyoming, có 4 TB dữ liệu, bao gồm 380 triệu hồ sơ về người tiêu dùng và nhân viên trong 85 ngành công nghiệp và 195 quốc gia trên toàn thế giới. Martynas Simanauskas, giám đốc bán hàng doanh nghiệp của Oxydata, nhấn mạnh rằng Oxydata không gặp sự cố và không gắn nhãn dữ liệu của mình với nhãn "OXY."

"Trong khi phần của cơ sở dữ liệu mà Vinny tìm thấy có thể đã được chúng tôi hoặc một trong những khách hàng của chúng tôi mua, nhưng chắc chắn nó không bị rò rỉ từ cơ sở dữ liệu của chúng tôi," Simanauskas nói với MYTOUR. "Chúng tôi ký kết các thỏa thuận với tất cả các khách hàng của mình cấm chặt việc bán lại dữ liệu và bắt họ đảm bảo rằng tất cả các biện pháp bảo mật thích hợp được thực hiện. Tuy nhiên, không có cách nào để chúng tôi áp đặt cho tất cả khách hàng của mình tuân thủ các quy tắc và hướng dẫn bảo vệ dữ liệu tốt nhất. Đánh giá từ cấu trúc dữ liệu, dường như rõ ràng rằng cơ sở dữ liệu được Vinny tìm thấy là sản phẩm làm việc của một bên thứ ba, với các mục được tạo ra từ nhiều nguồn khác nhau."

"Sự thật là cả hai đại lý dữ liệu đều không thể loại trừ khả năng một trong những khách hàng của họ đã xử lý dữ liệu của họ một cách không đúng đắn, làm nổi bật vấn đề an ninh và quyền riêng tư lớn hơn inherent in the business of buying and selling data."

"Điều đặc biệt về sự cố này là khối lượng lớn dữ liệu đã được thu thập và cách nó đã được tổng hợp, lưu trữ và thương mại hóa mà không cần sự hiểu biết của chủ sở hữu dữ liệu. Thông tin cá nhân của tôi cũng có trong đó," nói nhà nghiên cứu bảo mật Troy Hunt, người điều hành dịch vụ theo dõi rò rỉ dữ liệu toàn diện HaveIBeenPwned. "Chúng tôi chắc chắn thấy nhiều dữ liệu hơn bao giờ hết đang lưu thông. Điều này không chỉ là do nhiều sự cố rò rỉ dữ liệu hơn, mà còn do sự lan truyền của dữ liệu đã bị rò rỉ trước đó. Chúng tôi thấy dữ liệu đó sau đó được lấy bởi các dịch vụ khác, nhân bản, sau đó lại bị rò rỉ."

Như một số thông tin tiết lộ trong quá khứ của mình, Troia cung cấp thông tin từ kho dữ liệu cho Hunt cho HaveIBeenPwned. Tổng cộng, Hunt đã thêm hơn 622 triệu địa chỉ email duy nhất và dữ liệu khác vào kho của mình, và hiện đang thông báo cho mạng lưới HaveIBeenPwned.

"Rò rỉ Dữ liệu Không Ngừng"

Sự rò rỉ dữ liệu này chỉ là sự phát hiện mới nhất trong một chuỗi dài seemingly endless of large-scale discoveries. Đầu năm nay, 2.2 tỷ bản ghi được phát hiện phân phối trên các diễn đàn hacker qua nhiều tranches được biết đến với tên Collections #1-5. Trong tháng 3, Troia và Diachenko phát hiện rằng một công ty tiếp thị qua email duy nhất có tên là Verifications.io đã để lại 809 triệu bản ghi có thể truy cập công khai. Trong năm 2018, công ty tiếp thị Exactis đã rò rỉ một cơ sở dữ liệu gồm 340 triệu bản ghi cá nhân, và một vụ rò rỉ của công ty thông tin bán hàng Apollo đã làm lộ ra hàng tỷ điểm dữ liệu.

Đối với quý đầu tiên của năm 2019, số lượng cả sự cố rò rỉ dữ liệu và rò rỉ dữ liệu đã tăng đáng kể so với năm 2018. Troia, người điều hành công ty trí tuệ đe doạ Data Viper, nói rằng trong vài năm qua, anh đã xây dựng một kho dữ liệu đã bị rò rỉ để sử dụng trong quá trình quét và theo dõi. Cuối năm 2017, anh nói rằng anh đang gặp khó khăn để đưa 4 tỷ bản ghi vào nền tảng. Đến tháng 3 năm 2018, anh đã nhập 5 tỷ. Hiện nay, anh đã biên soạn hơn 13 tỷ bản ghi. "Đó là một bước nhảy lớn, khổng lồ," Troia nói.

Chỉ vì dữ liệu được rò rỉ trực tuyến không có nghĩa là hacker đã truy cập nó, và thường xuyên dữ liệu liên quan chỉ là từ hồ sơ công cộng. Nhưng tổng cộng, những kho dữ liệu này có thể tạo ra rủi ro thực sự bằng cách kích thích trộm danh tính, stuffing thông tin xác thực và lừa đảo phishing. Nhiều dữ liệu cũng kết thúc trên dark web, nơi đã chứng kiến một sự bùng nổ gần đây của thông tin đăng nhập bị đánh cắp, theo nghiên cứu mới từ công ty kiểm thử an ninh IT Thụy Sĩ và công ty theo dõi dark-web ImmuniWeb.

Trong một ý nghĩa, sự áp đảo của lượng dữ liệu lớn lưu thông trên dark web có thể tạo ra một loại mặt bằng rủi ro nơi mà thêm lượng không nhất thiết có nghĩa là làm tăng cường thành công của các chiêu lừa đảo. Mặt khác, những thị trường này chịu sự tác động của cùng những lực lượng cung và cầu như bất kỳ thị trường nào khác, theo lời của Harrison Van Riper, một chuyên gia phân tích chiến lược và nghiên cứu tại công ty an ninh Digital Shadows. Khi cung cấp tăng lên, giá giảm xuống, làm giảm giá cho nhiều tội phạm hơn để có được nhiều hơn nhiên liệu. Van Riper lưu ý rằng trong khi mật khẩu, số thẻ tín dụng và ID chính phủ là những mẩu thông tin đe doạ rõ ràng nhất đối với những kẻ lừa đảo, quan trọng là không nên đánh giá thấp tầm quan trọng của tất cả dữ liệu hỗ trợ giúp xây dựng hồ sơ của người tiêu dùng.

"Một số thông tin công cộng có thể được tổ chức vào một điểm đã có mặt nếu bạn xem trang trắng bạn có số điện thoại của ai và bạn có địa chỉ của ai - điều quan trọng là giờ đây nó dễ dàng hơn để truy cập và lợi dụng nó ở mức quy mô hàng loạt," ông nói. "Với sự phổ cập, đến đâu có nhiều dữ liệu, ai đó sẽ tìm cách lợi dụng ngay cả những mục thông tin tẻ nhạt nhất".

Cập nhật ngày 22 tháng 11 năm 2019, 9:30 giờ sáng ET, để làm rõ rằng các nhà nghiên cứu đã sử dụng cả BinaryEdge và Shodan để tìm kiếm và đánh giá máy chủ.

Những sáng tạo tuyệt vời khác từ MYTOUR

• Với N. K. Jemisin, xây dựng thế giới là một bài học về áp bức
• Vẽ với máy bay không người lái trên sa mạc muối của Bolivia
• 16 ý tưởng quà tặng cho những người đi du lịch thường xuyên
• Andrew Yang không nói xạo
• Bên trong Olympic Destroyer, cuộc tấn công lừa dối nhất trong lịch sử
• 👁 Một cách an toàn hơn để bảo vệ dữ liệu của bạn; cùng những tin tức mới nhất về Trí tuệ Nhân tạo
• 🎧 Âm thanh không ổn định? Kiểm tra tai nghe không dây, thanh âm thanh và loa Bluetooth yêu thích của chúng tôi