Az összesen 4 terabájtnyi információ bármilyen autentikáció nélkül, sima böngészőből is letölthető volt – közölték az adatszivárgást felfedező Data Viper blogján.
Hirdetés
 

Az adatbiztonsági felderítéssel foglalkozó Data Viper blogja néhány nappal ezelőtt számolt be egy október közepén tett felfedezésről, amit a valaha volt, egyetlen forrásból történt legnagyobb adatszivárgások közé sorol. A cikket jegyző szakemberek egy ElastiSearch szerveren összesen 4 terabájtnyi, 4 milliárd felhasználói profilt tartalmazó információt találtak, az adatcsomagot pedig bármiféle védelem nélkül, egyszerűen a böngészőből elérhető és letölthető módon tárolták. A rekordok deduplikációja után a Data Viper nagyjából 1,2 milliárd egyedi felhasználót és 650 millió email-címet azonosított, nem beszélve a telefonszámokról és a közösségi oldalakról származó profiladatokról.

Az információk a data Viper szerint a People Data Labs és az OxyData nevű "data enrichment" szolgáltatóktól származtak. A nehezen lefordítható kifejezés tulajdonképpen a harmadik féltől származó, hiteles adatok összegyűjtését és egy meglévő adatbázishoz való hozzárendelését jelenti, legtöbbször demográfiai vagy földrajzi jellemzők szerint. Az ilyen szolgáltatásokat igénybe vevők általában a saját információjukat is átadják a "data enrichment" partnernek, elvileg növelve ezzel a forrás hitelességét.

Az így keletkező és növekvő adattömeg a Facebook és más közösségimédia-szolgáltatók erőfeszítései ellenére egyre hízik, és a kontroll teljes elvesztése azt eredményezi, hogy ma már tulajdonképpen bárkiről könnyedén be lehet szerezni közösségi és személyes adatokat egyaránt. Ebben a zavaros környezetben halászik a fent említett két adatbróker cég is, amelyeket a kutatók összekötöttek a most felfedezett tartalommal, mindezt azonban nem lesz egyszerű dolog formalizálni vagy számon kérni rajtuk.

Még azonosítani sem könnyű az adatbiznisz szereplőit

Ahogy a blog leírja, a PDL jelölésű adatokat szivárogtató szerver nem hozható kapcsolatba magával a People Data Labsszel, ami egyből felvet egy csomó kérdést. Először is azt, az ismeretlen üzemeltető hogyan jutott a kérdéses adatokhoz, és volt-e valamilyen üzleti kötődése a People Data Labs vagy az OxyData irányában: ha igen, akkor az információt nem ellopták, csak szabálytalanul kezelték. Mindez természetesen nem változtat azon, hogy 1,2 milliárd ember adatait tartalmazó listát tettek elérhetővé, amiért mindenképpen meg kellene állapítani valamilyen felelősséget.

Itt jön azonban a kutatás legnehezebb része, a szerverről ugyanis az IP-cím alapján csak annyi világos, hogy a Google Cloud keretei között hosztolják, a felhőszolgáltatók viszont nyilvánvaló adatvédelmi szempontok alapján nem adnak ki csak úgy információt az ügyfeleik kilétéről. Ezt az illetékes hatóságok a megfelelő eljárásokat követve kikérhetnék a Google-től, arra azonban így sem lenne lehetőségük, hogy magát a szabálytalanságot ennek alapján végigvizsgálják.

A blog felhívja rá a figyelmet, hogy ebben a helyzetben teljesen a PDL-re van bízva, kívánja-e tájékoztatni az érintett felhasználókat, és a potenciális károk megtérítésére is csak egy hosszú és bonyolult hercehurca végén lenne esély. Az ügyben szereplő információ mennyisége és a szerver tulajdonosának körülményes azonosítása nyilvánvalóvá teszi, hogy érdemben mennyit érnek a személyes adatokat védő és a tájékoztatási kötelezettséget megfogalmazó, látszólag szigorú szabályok.

Biztonság

Le kell-e mondani a távmunkázóknak a céges karrierről?

Ha valaki nem szeretne élete végéig a céges hierarchia alján maradni, nehéz helyzetben lesz, ha a távmunkát választja – vélik egyes szervezetfejlesztési szakértők.
 
A biztonság kiszervezéséhez komoly bizalmi tőke kell, ami lassan épül fel, de tartósabb is, mint a betyárbecsület.

a melléklet támogatója a Euro One

Hirdetés

Így érdemes kialakítani a biztonságfelügyeletet

A jó példákért nem kell messze menni. Az alábbiakban csupa magyarországi bevált gyakorlat következik.

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Mi köze az IBM licencszerződések apró betűs kitételeinek ahhoz, hogy a Microsoft Windows Server 2008 életciklusának végéhez ér? Rogányi Dániel (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.