Специалист по безопасности раскрыл утечку персональных данных 33 миллионов пользователей

Специалист по безопасности Трой Хант (Troy Hunt) рассказал о том, что к нему попал файл весом 52 гигабайта с персональными данными 33 миллионов пользователей. В том числе американских военнослужащих, информация о которых должна быть засекречена. Он получил доступ к данным, которые, по его мнению, принадлежали компании Dun & Bradstreet, специализирующейся на сборе информации о бизнесе. Об этом специалист написал в своём блоге.

По словам Ханта, он получил доступ к информации так же, как в начале марта смог прослушать аудиозаписи с плюшевых игрушек CloudPets. Компания NetProspex использовала базы данных MongoDB, которые недостаточно защищены.

Специалист опубликовал одну из карточек на пользователей из базы, в которой содержится адрес, номер телефона, электронная почта, инициалы, должность, место работы Зака Уиттакера (Zack Whittaker), работающего журналистом в издании ZDNet. В разговоре с Хантом он подтвердил информацию о себе.

Хант заметил, что опубликованная информация носит корпоративный характер. Каждому пользователю присвоен персональный номер, а в досье на него сделан акцент на месте работы и уровне заработка. Хант сделал вывод, что отбором занималась американская компания, потому что все указанные пользователи проживают в США.

По мнению специалиста, сбором коммерческой информации занималась компания Netprospex, название которой фигурирует в базе данных. Каждому пользователю присуждался персональный номер с названием компании в начале.

Наиболее часто в базе данных встречаются досье на сотрудников почтовой службы, компании AT&T и сети магазинов Walmart. Однако Хант заметил, что в списке также есть информация о 100 тысячах военнослужащих, которую по закону запрещено распространять.

Заку Уиттакеру удалось связаться с представителями Dun & Bradstreet, которые подтвердили, что купили информацию у NetProspex в 2015 году. По их словам, данные собирают для маркетинговых кампаний, поэтому они не находятся в закрытом доступе. Они отметили, что продают данные по частям, в зависимости от предложенной суммы. Также в компании предположили, что утечка произошла около шести месяцев назад, и заявили, что уже закрыли недочёты в безопасности.

В конце записи Хант заявил, что «люди окончательно потеряли контроль над своими персональными данными». По его словам, если какая-то компания собирает информацию, то «практически невозможно защитить данные о себе».