O bază de date lăsată accesibilă oricui online conținea miliarde de înregistrări, inclusiv date personale sensibile pe care infractorii par să nu le fi exploatat încă.
După ani petrecuți căutând și investigând breșe de securitate, Greg Pollock recunoaște că atunci când dă peste o altă bază de date expusă, plină de parole și numere de asigurare socială, „abordez problema cu o anumită oboseală”. Dar Pollock, director de cercetare la compania de securitate cibernetică UpGuard, spune că el și colegii săi au găsit în ianuarie o bază de date expusă, accesibilă publicului online, care părea să conțină un tezaur de date personale sensibile ale americanilor, atât de masiv încât oboseala lui a dispărut și au trecut imediat la validarea descoperirii.
Cercetătorii UpGuard subliniază că nu toate înregistrările reprezintă informații unice și valide, dar totalurile brute pe care le-au găsit în expunerea din ianuarie includeau aproximativ 3 miliarde de adrese de e-mail și parole, precum și aproximativ 2,7 miliarde de înregistrări care includeau numere de asigurare socială. Nu era clar cine configurase baza de date, dar părea să conțină detalii personale care ar fi putut fi adunate din multiple breșe de date istorice - inclusiv, poate, tezaurul din breșa din 2024 a serviciului de verificare a antecedentelor National Public Data. Este obișnuit ca brokerii de date și infractorii cibernetici să combine și să recombine seturi de date vechi, dar scara și cantitatea potențială de numere de asigurare socială - chiar dacă doar o fracțiune dintre ele erau reale - a fost izbitoare.
„În fiecare săptămână, există o altă descoperire care arată mare pe hârtie, dar probabil că nu este foarte nouă”, spune Pollock, „Așa că am fost surprins când am început să sap în cazurile specifice de aici pentru a valida datele. În unele cazuri, identitățile din această încălcare a datelor sunt în pericol, deoarece au fost expuse, dar nu au fost încă exploatate.”
Datele au fost găzduite de furnizorul german de cloud Hetzner. Deoarece Pollock nu a putut identifica un proprietar al bazei de date pe care să-l contacteze, a notificat Hetzner pe 16 ianuarie. Compania, la rândul său, a spus că și-a notificat clientul, care a eliminat datele pe 21 ianuarie. Hetzner nu a oferit WIRED un comentariu înainte de publicare.
Cercetătorii nu au descărcat întregul set de date pentru analiză din cauza dimensiunii și sensibilității sale. În schimb, au lucrat cu un eșantion de 2,8 milioane de înregistrări - o mică fracțiune din totalul tezaurului. Analizând tendințele din date, inclusiv popularitatea anumitor referințe culturale în parole, au ajuns la concluzia că o mare parte din date datează probabil din Statele Unite în jurul anului 2015. De exemplu, parolele care făceau referire la One Direction, Fall Out Boy și Taylor Swift erau foarte frecvente. Între timp, referințele la Blackpink, Katseye și Btsarmy abia începeau să apară.
Datele vechi sunt încă valoroase din două motive. În primul rând, oamenii reutilizează adesea aceeași adresă de e-mail și parolă, sau o variație a parolei, pe multe site-uri web și servicii diferite. Aceasta înseamnă că infractorii cibernetici pot continua să încerce aceleași date de conectare pentru aceiași oameni de-a lungul timpului. Al doilea motiv este că numerele de asigurare socială ale oamenilor sunt adesea legate de datele lor cele mai sensibile și de miză mare, dar aproape niciodată nu se schimbă în timpul vieții lor. Ca urmare, NAS-urile valide sunt una dintre bijuteriile coroanei furtului de identitate pentru atacatori.
În eșantionul de date pe care cercetătorii l-au examinat, Pollock spune că unul din patru NAS-uri părea să fie valid și legitim. Eșantionul a fost prea mic pentru a extrapola la întregul set de date, dar un sfert din toate înregistrările care conțin NAS-uri ar fi 675 de milioane. O fracțiune din asta ar reprezenta totuși un set foarte semnificativ de numere de asigurare socială.
Pentru a verifica datele, cercetătorii UpGuard au contactat câțiva oameni ale căror date au apărut în tezaurul scurs. Pollock subliniază că una dintre cele mai îngrijorătoare descoperiri din discuțiile cu acești indivizi a fost că nu toți au avut identitățile furate sau au suferit hack-uri. Cu alte cuvinte, existau informații în baza de date care nu au fost încă exploatate de infractorii cibernetici - iar potențialele victime nu știu neapărat că informațiile lor au fost expuse.
Descoperirea este un memento, spune Pollock, al modului în care incidente precum încălcarea din 2015 a Biroului de Management al Personalului din SUA sau încălcarea din 2017 a biroului de credit Equifax creează o coadă lungă de incertitudine pentru oricine ale cărui date au fost furate.
„Nu cred deloc că acestea sunt datele pe care grupul DOGE le-a gestionat greșit, dar cred că acesta este un alt exemplu despre modul în care greșelile în modul în care gestionați datele pot avea impact timp de decenii”, spune el. „Acestea sunt mine care au fost așezate și apoi sunt periculoase pentru totdeauna.”