Az adatbiztonsági felderítéssel foglalkozó Data Viper blogja néhány nappal ezelőtt számolt be egy október közepén tett felfedezésről, amit a valaha volt, egyetlen forrásból történt legnagyobb adatszivárgások közé sorol. A cikket jegyző szakemberek egy ElastiSearch szerveren összesen 4 terabájtnyi, 4 milliárd felhasználói profilt tartalmazó információt találtak, az adatcsomagot pedig bármiféle védelem nélkül, egyszerűen a böngészőből elérhető és letölthető módon tárolták. A rekordok deduplikációja után a Data Viper nagyjából 1,2 milliárd egyedi felhasználót és 650 millió email-címet azonosított, nem beszélve a telefonszámokról és a közösségi oldalakról származó profiladatokról.

Az információk a data Viper szerint a People Data Labs és az OxyData nevű "data enrichment" szolgáltatóktól származtak. A nehezen lefordítható kifejezés tulajdonképpen a harmadik féltől származó, hiteles adatok összegyűjtését és egy meglévő adatbázishoz való hozzárendelését jelenti, legtöbbször demográfiai vagy földrajzi jellemzők szerint. Az ilyen szolgáltatásokat igénybe vevők általában a saját információjukat is átadják a "data enrichment" partnernek, elvileg növelve ezzel a forrás hitelességét.

Az így keletkező és növekvő adattömeg a Facebook és más közösségimédia-szolgáltatók erőfeszítései ellenére egyre hízik, és a kontroll teljes elvesztése azt eredményezi, hogy ma már tulajdonképpen bárkiről könnyedén be lehet szerezni közösségi és személyes adatokat egyaránt. Ebben a zavaros környezetben halászik a fent említett két adatbróker cég is, amelyeket a kutatók összekötöttek a most felfedezett tartalommal, mindezt azonban nem lesz egyszerű dolog formalizálni vagy számon kérni rajtuk.

Még azonosítani sem könnyű az adatbiznisz szereplőit

Ahogy a blog leírja, a PDL jelölésű adatokat szivárogtató szerver nem hozható kapcsolatba magával a People Data Labsszel, ami egyből felvet egy csomó kérdést. Először is azt, az ismeretlen üzemeltető hogyan jutott a kérdéses adatokhoz, és volt-e valamilyen üzleti kötődése a People Data Labs vagy az OxyData irányában: ha igen, akkor az információt nem ellopták, csak szabálytalanul kezelték. Mindez természetesen nem változtat azon, hogy 1,2 milliárd ember adatait tartalmazó listát tettek elérhetővé, amiért mindenképpen meg kellene állapítani valamilyen felelősséget.

Itt jön azonban a kutatás legnehezebb része, a szerverről ugyanis az IP-cím alapján csak annyi világos, hogy a Google Cloud keretei között hosztolják, a felhőszolgáltatók viszont nyilvánvaló adatvédelmi szempontok alapján nem adnak ki csak úgy információt az ügyfeleik kilétéről. Ezt az illetékes hatóságok a megfelelő eljárásokat követve kikérhetnék a Google-től, arra azonban így sem lenne lehetőségük, hogy magát a szabálytalanságot ennek alapján végigvizsgálják.

A blog felhívja rá a figyelmet, hogy ebben a helyzetben teljesen a PDL-re van bízva, kívánja-e tájékoztatni az érintett felhasználókat, és a potenciális károk megtérítésére is csak egy hosszú és bonyolult hercehurca végén lenne esély. Az ügyben szereplő információ mennyisége és a szerver tulajdonosának körülményes azonosítása nyilvánvalóvá teszi, hogy érdemben mennyit érnek a személyes adatokat védő és a tájékoztatási kötelezettséget megfogalmazó, látszólag szigorú szabályok.