Jeden z největších úniků osobních dat zaznamenali bezpečnostní experti ze společnosti Data Viper. Týká se více než 1,2 miliardy lidí, jejichž data byla dostupná na veřejně přístupném serveru. Ten obsahoval údaje od dvou firem – People Data Labs a oxydata – které shromažďují osobní údaje o jednotlivcích a prodávají je zákazníkům. Dotčené firmy nedokážou vysvětlit, jak se jejich data dostala ven.
Uniklá data obsahují například jména, e-mailové adresy, telefonní čísla a informace z profilů na sociálních sítích Facebook a LinkedIn – například údaje o posledních zaměstnáních. Celá databáze má čtyři miliardy položek a zabírá 4 terabajty.
Masivní únik
Odborníci z firmy Data Viper odhalili, že veškeré informace byly veřejně (doslova komukoli) dostupné na adrese http://35.199.58.125:9200. Server přitom nevyžadoval přihlášení heslem, ani ověření žádným jiným způsobem.
Čtyři indexy databází s osobními údaji obsahují položky začínající na pdl a oxy, z čehož experti usoudili, že patří společnostem People Data Labs a oxydata. Obě v reakci na žádost o vyjádření uvedly jen to, že inkriminovaný server nevlastní.
Indexy databází na serveru s daty
Jmenované firmy se zabývají takzvaným „obohacováním dat“, což v praxi znamená, že za velmi nízkou cenu umožňují vzít jednu informaci o osobě (například jméno nebo e-mailovou adresu) a rozšířit („obohatit“) ji o stovky dalších souvisejících údajů.
Jak je patrné ze staršího úniku, který se dotkl podobně fungující firmy Exactis, shromážděné informace o jedné osobě mohou zahrnovat údaje jako je velikost domácnosti, finanční příjem, politické a náboženské preference, a dokonce i oblíbené sociální aktivity.
Jsou údaje ukradené?
Data Viper se snažila zjistit, kdo stojí za únikem takového rozsahu, nicméně to se zatím nepovedlo. Google Cloud, na kterém je server hostován, totiž z důvodu ochrany soukromí (poněkud ironické, že?) odmítl sdílet jakékoli informace o svém zákazníkovi. Předat je může pouze vyšetřovacím orgánům na základě soudního příkazu.
Je pravděpodobné, že data pocházejí od současného či bývalého zákazníka společností oxydata a People Data Labs. Neznamená to však nutně, že informace byly přímo odcizeny – zákazník je mohl například nesprávně uložit nebo zneužít. To samozřejmě nijak neomlouvá chování, jež je v rozporu s ochranou osobních údajů.
Z hlediska objemu jde o jeden z největších úniků dat v historii. Tento je unikátní zejména v tom, že obsahuje soubory dat, které, jak se zdá, pocházejí od dvou různých společností sbírajících osobní informace.
