Tariamo duomenų brokerio duomenų pažeidimo paslaptis

Nuo balandžio mėnesio įsilaužėlis, pardavinėjęs pavogtus duomenis, pareiškė ieškinį dėl milijardų įrašų duomenų pažeidimo, kuris paveikė mažiausiai 300 milijonų žmonių, iš JAV duomenų brokerio, todėl tai būtų vienas didžiausių tariamų duomenų pažeidimų per metus.
Duomenys, kuriuos mato „TechCrunch“, atrodo iš dalies teisėti – jei netobuli. Pavogti duomenys, kurie buvo paskelbti žinomame kibernetinių nusikaltimų forume, tariamai datuojami prieš daugelį metų ir apima pilnus JAV piliečių vardus ir pavardes, jų namų adresų istoriją ir socialinio draudimo numerius – duomenis, kuriuos plačiai gali parduoti duomenų brokeriai.
Tačiau tariamos duomenų vagystės šaltinio patvirtinimas pasirodė neįtikinamas, tokia yra duomenų brokerių pramonė, kuri renkasi asmenų asmens duomenis iš skirtingų šaltinių, nekontroliuodama arba visiškai nekontroliuodama kokybės.
Įtariamas duomenų tarpininkas, anot įsilaužėlio, yra „National Public Data“, kuris save vadina „vienu didžiausių viešųjų įrašų internete teikėjų“.
Savo oficialioje svetainėje „National Public Data“ teigė parduodanti prieigą prie kelių duomenų bazių: „Žmonių ieškiklio“, kurioje klientai gali ieškoti pagal socialinio draudimo numerį, vardą ir pavardę, gimimo datą, adresą arba telefono numerį; JAV vartotojų duomenų bazė, „apimanti daugiau nei 250 milijonų asmenų“; duomenų bazė su rinkėjų registracijos duomenimis, kurioje yra informacija apie 100 milijonų JAV piliečių; nuosprendžių registre yra vienas ir dar keli.
Kenkėjiškų programų tyrimų grupė „vx-underground“ per X (buvusią „Twitter“) pranešė, kad peržiūrėjo visą pavogtą duomenų bazę ir galėjo „patvirtinti, kad joje esantys duomenys yra tikri ir tikslūs“.
„Ieškojome kelis asmenis, kurie sutiko, kad jų informacija būtų ieškoma“, – rašė grupė ir pridūrė, kad jiems pavyko rasti tų žmonių informaciją, įskaitant vardus, adresų istoriją, siekiančią daugiau nei tris dešimtmečius, ir socialinio draudimo numerius.
„Tai taip pat leido mums rasti jų tėvus ir artimiausius brolius ir seseris. Mums pavyko atpažinti asmenis [sic] tėvai, mirę giminaičiai, dėdės, tetos ir pusbroliai“, – rašė „vx-underground“.
„TechCrunch“ dėjo panašias pastangas, kad patikrintų duomenų autentiškumą, o rezultatai buvo skirtingi.
Susisiekite su mumis
Ar turite daugiau informacijos apie šį incidentą ar panašius incidentus? Naudodami neveikiantį įrenginį galite saugiai susisiekti su Lorenzo Franceschi-Bicchierai naudodamiesi „Signal“ telefonu +1 917 257 1382 arba per „Telegram“, „Keybase and Wire“ @lorenzofb arba el. paštu. Taip pat galite susisiekti su Zulkarnain Saer Khan telefonu +36707723819 arba X @ZulkarnainSaer. Taip pat galite susisiekti su „TechCrunch“ naudodami „SecureDrop“.
Peržiūrėdami mažesnę penkių milijonų įrašų imtį, radome daugybę vardų ir adresų, atitinkančių atitinkamus viešuosius įrašus, bet ir kai kurių duomenų, kurie ne visada prasmingi, pvz., el. pašto adresus su skirtingais pavadinimais, kurie neturi jokios akivaizdžios įtakos likusius susijusio asmens duomenis. Kai kuriuose įrašuose buvo tariama informacija apie žinomus garsius asmenis, įskaitant buvusio JAV prezidento asmens duomenis.
„TechCrunch“ pateikė USDoD, duomenis parduodančiam įsilaužėliui, aštuonių sutikimą davusių žmonių vardus, siekdama patikrinti, ar įsilaužėlis iš tikrųjų turi teisėtus duomenis. Įsilaužėlis nepateikė jokių duomenų apie aštuonis žmones.
„TechCrunch“ taip pat susisiekė su šimtu žmonių, kurių numeriai ir el. pašto adresai buvo pavyzdyje. Atsiliepė tik vienas asmuo ir patvirtino, kad dalis jo tariamai pavogtų duomenų yra tikslūs, bet ne visi.
Tiesiai nuėjus prie tariamo duomenų vagystės šaltinio, taip pat daug neatsakyta.
Nepaisant kelių bandymų susisiekti su įmone, „National Public Data“ neatsakė, taip pat neatsakė ir jos įkūrėjas bei generalinis direktorius Salvatore Verini. Praėjusią savaitę „TechCrunch“ pirmą kartą susisiekus su „National Public Data“, bendrovė panaikino savo interneto puslapius, kuriuose buvo pateikta informacija apie duomenų bazes, prie kurių ji parduoda prieigą.
Ne visi duomenų pažeidimai, apie kuriuos praneša įsilaužėliai, ypač tie, kurie skelbiami įsilaužimo forumuose, yra tikri. Štai kodėl „TechCrunch“ ir kiti kibernetinio saugumo žurnalistai dažnai praleidžia daug laiko bandydami patikrinti duomenų pažeidimą, o tai kartais baigiasi neaiškiais rezultatais.
Tačiau šis tariamas duomenų brokerio pažeidimas atrodo išskirtinis, iš dalies todėl, kad kai kurie duomenys atrodo tikri, o kai kurie jau patikrinti.
Duomenų brokerių sektoriuje daugėjant asmens duomenų ir juos paverčiant prekėmis, taip pat sunkiau nustatyti duomenų nutekėjimo šaltinį. Ir net jei šis konkretus duomenų pažeidimas lieka neišspręstas, tai dar kartą parodo, kad duomenų brokerių pramonė yra nekontroliuojama ir kelia tikrų privatumo problemų paprastiems žmonėms.
Negalėjome galutinai išspręsti šio duomenų pažeidimo paslapties, tačiau to pakako, kad galėtume išsamiai apibūdinti mūsų patikrinimo pastangas. Vienas dalykas aiškus. Kol duomenų brokeriai renka asmeninę informaciją, išlieka rizika, kad duomenys pasišalins.