Az év egy közel 800 millió személyes adatot tartalmazó csomag felfedezésével indult. Alig két hónapra rá egy újabb, hasonló nagyságrendű incidens történt.
Hirdetés
 

Hogy idén sem kerül le a napirendről az adatbiztonság témaköre, arról rögtön januárban gondoskodott az az irdatlan nagyságrendű adatbázis, amelyre egy biztonsági szakember bukkant egy felhős tárhelyszolgáltató nyilvánosan elérhető állományai között. Most egy sok szempontból hasonló sztori bukkant fel, amelyben közvetlenül érintett egy levelezőmarketingben érdekelt, rejtélyes vállalkozás is.

Minden, mi szem-szájnak és spammernek ingere

A biztonságtechnológiával foglalkozó Bob Diachenko még február 25-én botlott egy 150 gigabájtos, szabadon elérhető MongoDB instance-re. Az adatbázis vizsgálatakor döbbent rá, hogy milyen irdatlan nagyságrendű, számos kényes információt tartalmazó csomagra bukkant. A négy különálló kollekcióból álló adatbázis több mint 800 millió rekordot rejtett. Pontosabban nem rejtett, mert nem csak hogy szabadon letölthető volt, de sima szöveges formátumban sorakoztak benne a mailcímektől kezdve a lakcímeken át egészen a telefonszámokig mindenféle adatok.

A legnagyobb részt a sima elektronikus címek adták, amelyekből közel 800 milliót tartalmazott a csomag, de több milliós nagyságrendben lehetet kinyerni telefonszámokat és különböző üzleti adatokat is. A felhasználókhoz rendelt információkból bizonyos esetekben kiderült a nemük is, de volt olyan, akinél a hitelképességi mutatója is szerepelt. Az információtengerből kihalászható volt továbbá egy kövér csokornyi céges adat, honlapcímmel, faxszámokkal, állományi adatokkal, fizetési számokkal.

Diachenko a talált adatokat szúrópróbaszerűen összevetett a HaveIBeenPwned oldal adatbázisával. Ebből világossá vált, hogy nem a korábban nyilvánosságra került anyagok "újracsomagolásáról" van szó, mivel egy sor bejegyzésnél nem talált egyezést.

Rejtélyes tulajdonos

Ezt követően kezdődött az esetleg forrás felkutatása. Bár elsőre a szakember számára spamelésre szakosodott bűnözők lerakatának tűnt a csomag, a nyomok egy működő vállalkozáshoz, egy bizonyos Verifications.io-hoz vezettek. A cég professzionális címellenőrzést vállalt, ami bevett gyakorlat az emailmarketingben utazók körében. Az ilyen szolgáltatások vállalják, hogy a partner adatbázisában található címeket leellenőrzik, mielőtt azokat emailes kampányokra használnák. Ezzel nem csupán egy adattisztítást kap a megrendelő, de azt is elkerüli, hogy különböző biztonsági rendszerek feketelistázzák a saját címeit.

Diachenko a rendelkezésére álló információk alapján arra jutott, hogy amikor az ügyfelek feltöltötték a Verifications.io rendszerébe az ellenőrizni kívánt adatokat, azok plain text formátumban bekerültek ebbe a nem igazán biztonságos adatbázisba. Az ügyről természetesen azonnal értesítette is a céget, ahonnan gyorsan választ is kapott, bár annak tartalma újabb kérdőjelekkel gazdagította az amúgy sem mindennapi sztorit.

 

 

A fenti válaszból kiderül, hogy egyrészt megköszönték a jelzést, másrészt megnyugtatták a bejelentőt, hogy az adatbázis kizárólag nyilvános és semmiképpen nem ügyféltől származó adatokat tartalmazott. Ezt az álláspontot nem csak az gyengíti, hogy ténylegesen milyen hatalmas mennyiségű, sokszínű és érzékeny információról beszélünk, hanem az is, hogy a cég az adatbázis mellett még a saját oldalát is elérhetetlenné tette a levélváltás hatására.

Ezt követően sem a felfedezést tevő biztonsági szakértőnek, sem az ügyet felkaroló Wired magazinnak sem sikerült lényegi kontaktust teremteni a Verifications.io-val. A fellelhető cégadatokban több amerikai és Észtországban található cím is felbukkan, utóbbiak közül több nyilvánvalóan hamis adat, mert azokon a helyeken múzeum vagy éppen egy kormányzati épület található.

A második legnagyobb fogás

A Wired megszólaltatta a már említett HaveIBeenPwned szolgáltatást kitaláló és üzemeltető Troy Huntot is. A szakember a mostani fogás kapcsán 763 millió levélcímről beszél (valószínűleg ennyi maradt a duplikációk leszűrését követően), amelyek bő harmada még nem volt benne saját adatbázisába, amely a nyilvánosságra került incidensek során kompromittálódott személyes adatokat tartalmazza. Ezzel a február végén megtallált csomag a második legnagyobb fogásnak tekinthető a már szintén említett januári ügy után. Akkor a Collection 1-ként hívott gyűjteménynek "köszönhetően" 773 millió címmel gazdagodott az adatbázis.

Biztonság

Ritka az olyan magyar, aki nem vásárol neten

Egy friss kutatás szerint már érdemben nem nagyon lehet növelni az online vásárlók hazai táborát.
 
Ha nem sikerül megválaszolni azokat a biztonsági kihívásokat, amelyek az informatikai fejlesztések még mélyebb integrációjával járnak, nem teljesedhet ki a gyártóipar negyedik forradalmát elhozó trend. Lehetőségek és buktatók.
A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.