Ulat: Ang Hindi Kilalang Data Breach ay Naglalantad ng 80 Milyon na Mga Aming Pantahanan sa US


Ang koponan ng pananaliksik ng vpnMentor ay natuklasan ang isang hack na nakakaapekto sa 80 milyong mga kabahayan sa Amerika.

Ang mga kilalang hacktivist na sina Noam Rotem at Ran Locar ay natuklasan ang isang hindi protektadong database na nakakaapekto sa 65% ng mga kabahayan sa US.

Naka-host sa pamamagitan ng isang Microsoft cloud server, ang 24 GB database ay kasama ang bilang ng mga taong naninirahan sa bawat sambahayan na may kanilang buong pangalan, kanilang katayuan sa pag-aasawa, kita bracket, edad, at higit pa.

Kasama sa Impormasyon sa Database

Sa ibaba ay isang screenshot ng isang pangkaraniwang entry mula sa database na ito:

Mukhang mailalagay ng database ang mga kabahayan sa halip na mga indibidwal. Kabilang dito ang:

  • Ang mga buong address, kabilang ang mga address ng kalye, lungsod, county, estado, at mga code ng zip
  • Eksaktong longitude at latitude
  • Buong pangalan, kabilang ang una, huli, at gitnang inisyal
  • Edad
  • Araw ng kapanganakan

Ang ilang impormasyon ay kasama ngunit naka-code (na ibinigay kung ano ang ipinapalagay namin na isang panloob na naihahalagang numero ng numero). Kasama dito:

  • Pamagat
  • Kasarian
  • Katayuan sa pag-aasawa
  • Kita
  • Katayuan ng may-ari ng bahay
  • Uri ng pag-delling

Ang tanging tunay na pahiwatig na ito nabibilang sa database ang ilang uri ng serbisyo ay ang “member_code” at “puntos” bawat isa ay lilitaw sa bawat entry.

Ang Danger of Exposing Impormasyon na ito

Hindi ito ang unang pagkakataon na nasira ang isang malaking database. Gayunpaman, naniniwala kami na ito ang unang pagkakataon na ang paglabag sa laki na ito ay may kasamang mga pangalan, address, at kita ng mga tao.

Ang bukas na database ay isang ginto para sa mga magnanakaw ng pagkakakilanlan at iba pang mga umaatake. Narito kung paano:

Pag-atake ng Cyber

Ang pag-access sa iyong buong pangalan ay makakatulong sa mga hacker na hulaan ang iyong email address. Maraming tao ang gumagamit ng [email protected] bilang kanilang email address. Habang ito ay may katuturan, ito rin ginagawang madali mong makilala.  

Ang mga scam sa phishing ay maaaring tumagal ng maraming mga form, at Ang ransomware ay isa sa mga pinaka-mapanganib. Karaniwan, nangyayari ito kapag ang mapanganib na mga link ay naka-embed sa mga email; ang pagbubukas ng mga ito ay nakakaapekto sa iyong computer. Ang ang paraan lamang upang matanggal ang ransomware ay sa pamamagitan ng pagbabayad isang bayad – at may pag-access sa iyong impormasyon sa kita, alam ng mga umaatake kung magkano ang maaari nilang hilingin sa iyo.

Mga Tunay na Daigdig na panganib

Ang iyong pangalan at lungsod sapat na upang magpatakbo ng isang komprehensibong paghahanap sa internet. Dadalhin ng Google ang mga link sa anumang pangalan sa iyong pangalan, kasama ang: mga website ng kumpanya, personal na blog o mga website, mga profile sa social media tulad ng Facebook, Instagram, at Twitter, at lokal na media na maaari mong itampok sa.

Ipagpalagay na hindi mo na-update ang mga setting ng seguridad sa iyong profile sa Facebook para sa isang sandali, upang ang iyong mga post ay makikita sa mga taong hindi mo kaibigan. Lahat ng nai-post mo ay bukas sa internet – kabilang ang mga larawan sa bakasyon na na-upload mo noong umaga. Ang ipinakita ng geotag na libu-libong mga milya ang layo mo mula sa bahay.

Dahil ang iyong buong address ay nasa database din, ang magnanakaw ay hindi lamang alam kung saan ka nakatira, alam din nila ngayon na malayo ka sa bahay kaya malamang na walang laman ang bahay. Maaari rin nilang makita ang iyong kita, kaya matantya ang halaga ng iyong mga nilalaman sa bahay. Ikaw ay naging pangunahing target para sa pag-atake.

Mas lumala ito: ang iyong edad ay nasa database din. Ang mga umaatake – kapwa sa at offline – ay maaaring makilala ang pinaka-mahina na tao, i-filter ang mga ito sa pamamagitan ng kita, at gamitin ang impormasyon sa database upang kumpiyansa na atakehin at samantalahin ang mga tao sa pamamagitan ng telepono, email, o sa tao.

Ang sitwasyong ito ay dulo lamang ng iceberg. Ang mga address ay madaling humantong sa mga numero ng telepono, na ginagawang madaling i-target ang mga tao para sa mga scam sa phishing. Ang mga petsa ng mga code ng kapanganakan at postal ay karaniwang mga sagot sa mga tanong sa seguridad. At ang longitude at latitude ay nangangahulugang ang iyong tahanan ay maaaring matukoy at mapapanood.

Siyempre, may mga paraan upang manatiling ligtas sa online at sa totoong mundo. Halimbawa, i-secure ang iyong bahay na may mga alarma, at ang iyong koneksyon sa internet na may isang nangungunang VPN. Makakatulong ito na mapanatili kang ligtas, nasaan ka man.

Paano Natuklasan Natin ang Maliit

Kasalukuyang nagsasagawa ang isang pangkat ng pananaliksik proyekto sa pagmamapa sa web. Gumagamit sila ng pag-scan ng port upang suriin ang mga kilalang IP block. Inihayag nito ang mga bukas na butas sa mga sistema ng web, kung saan pagkatapos ay suriin nila ang mga kahinaan at pagtagas ng data.

Karaniwan, pinaghihinalaan ng mga mananaliksik kung saan nagmula ang tagas. Maaari silang pagkatapos suriin ang database upang kumpirmahin ang pagkakakilanlan nito.

Pagkatapos ay maabot namin ang may-ari ng database upang maiulat ang tagas, at kung saan posible, alerto ang mga taong naapektuhan. Ito tumutulong sa pagbuo ng isang mas ligtas at mas protektado na internet.

Kahit na sinisiyasat namin ang database sa online, hindi namin ito nai-download. Nadama ng aming mga mananaliksik na ang pag-download nito ay magiging isang paglabag sa etikal, dahil iligal nilang pag-aari ang mga personal na makikilala na set ng data nang walang pahintulot ng mga tao.

Bakit Naiiba ang Data Breach na ito

Sa oras na ito, iba ito. Ang database na natuklasan ng koponan ay nagsasama ng pagkilala ng impormasyon para sa higit sa 80 milyong mga kabahayan sa buong Estados Unidos. Tulad ng karamihan sa mga sambahayan ay may kasamang higit sa isang residente, maaaring direkta ang database nakakaapekto sa daan-daang milyong mga indibidwal.

Nanawagan ang vpnMentor sa publiko na tulungan makilala ang database at isara ang pagtagas.

Hindi tulad ng mga naunang pagtagas na aming natuklasan, sa oras na ito, mayroon kami walang ideya kung sino ang database na ito. Naka-host ito sa isang cloud server, na nangangahulugang ang IP address na nauugnay dito ay hindi kinakailangang konektado sa may-ari nito.

Ang data ay may kasamang pantay na mga entry para sa higit sa 80 milyong kabahayan, ginagawa itong halos imposible upang paliitin. Ang tanging bakas na natagpuan namin ay nasa mga edad ng mga tao: sa kabila ng paghahanap ng libu-libong mga entry, wala kaming makitang nakalista sa ilalim ng edad na 40.

Kapansin-pansin, ibinigay ang isang halaga para sa kita ng mga tao (gayunpaman, hindi namin alam kung ito ay isang code para sa isang panloob na sistema ng pagraranggo, isang tax bracket, o isang aktwal na halaga).

Pinaghihinalaan namin ito na ang database ay pagmamay-ari ng isang seguro, pangangalagang pangkalusugan, o kumpanya ng mortgage. Gayunpaman, ang impormasyon na maaaring asahan ng isa na makahanap sa isang database na pag-aari ng mga broker o bangko ay nawawala. Halimbawa, walang mga patakaran o numero ng account, mga numero ng seguridad sa lipunan, o mga uri ng pagbabayad.

Tulong sa Amin Kilalanin ang Database na ito

I-update ang 30/04/2019: Ang database na ito ay hindi na bukas sa publiko. Kasunod ng paglalathala ng aming ulat, kinuha sa labas ng Microsoft ang server nito. Sa isang pahayag, sinabi nila, “Nasabi namin sa may-ari ng database at gumawa ng mga naaangkop na hakbang upang matulungan ang customer na alisin ang data hanggang sa maayos itong mai-secure”. Hindi inihayag ng Microsoft kung sino ang nagmamay-ari ng database.

Nais naming makipag-ugnay sa mga may-ari ng database na ito at ipaalam sa kanila na ang kanilang mga data log naglalantad ng milyun-milyong mga sambahayan.

Tulungan kaming malutas ang bugtong:

Anong serbisyo ang ginagamit ng 80 milyong mga bahay sa buong US – ngunit ang US lamang – at ng mga taong higit sa 40? Anong serbisyo ang makokolekta ang iyong katayuan sa may-ari at uri ng tirahan ngunit hindi ang iyong numero ng seguridad sa lipunan? At anong serbisyo ang nagtala ng kasal mo ngunit hindi gaano karaming mga anak ang mayroon ka?

Kung matutulungan ka naming makilala ang database na ito o malaman kung sino ang nagmamay-ari nito, mangyaring makipag-ugnay sa amin sa [email protected] Ang 80 milyong pamilya na nakalista dito nararapat sa privacy, at kailangan namin ang iyong tulong upang maprotektahan ito.

Maaari kang Ma-interesado sa aming Nakaraan na Mga Ulat:

Kamakailan lamang ay isiniwalat namin na naranasan ng Gearbest ang isang napakalaking paglabag sa data, at higit pa sa 25% ng Fortune 500 kumpanya ay na-hack. Maaari mo ring basahin ang aming ulat ng mga pekeng apps na ginamit sa Iran upang masubaybayan ang mga gumagamit, VPN Leak Report at Data Privacy Stats Report.

Mangyaring ibahagi ang ulat na ito sa Facebook o tweet ito kaya ang ibang mga propesyonal sa seguridad ay makakatulong sa amin na matukoy at malutas ang pagtagas na ito.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map