Olasılık Veriler yanlışlıkla yanlış yapılandırılmış veya başka bir şekilde teminatsız bir veritabanında maruz bırakılabilir, tam olarak ele alınması zor olan uzun süreli bir gizlilik kabusudur. Ancak, Apple, Facebook ve Google girişleri ve birden fazla hükümete bağlı hesaplar için kimlik bilgileri de dahil olmak üzere 184 milyon kayıttan oluşan büyük bir trove’nin yeni keşfi, tek bir başarısızlık noktası haline gelebilecek bir depoda hassas bilgileri dikkatsizce derleme risklerini ortaya koyuyor.
Mayıs ayı başlarında, uzun zamandır veri-vekili avcısı ve güvenlik araştırmacısı Jeremiah Fowler, 47 GB’dan fazla veri arasında 184.162.718 kayıt içeren açık bir elastik veritabanı keşfetti. Tipik olarak, Fowler, içeriğinden maruz kalan bir veritabanını kimin kontrol ettiği hakkında ipuçları toplayabildiğini söylüyor – kuruluşla ilgili veriler, müşterileri veya çalışanları ile ilgili veriler veya verilerin neden toplandığını gösteren diğer göstergeler. Bununla birlikte, bu veritabanı, verilerin kimin sahibi olduğu veya nereden toplanmış olabileceği hakkında herhangi bir ipucu içermemiştir.
Çok sayıda dijital hizmetlere bağlı hesapları içeren giriş detaylarının aralık ve büyük kapsamı, verilerin bir veri ihlali veya diğer siber suç aktivitesini araştıran veya doğrudan saldırganlar tarafından sahip olunan ve infostealer kötü amaçlı yazılımlar tarafından çalınan araştırmacılar tarafından tutulan bir tür derleme olduğunu göstermektedir.
Fowler, “Bu muhtemelen yıllardır bulduğum en tuhaf olanlardan biri” diyor. “Buradaki risk faktörü olarak, bu bulduğum şeylerin çoğundan çok daha büyük, çünkü bu bireysel hesaplara doğrudan erişim. Bu bir siber suçlu rüya çalışma listesi.”
Her kayıt, hesap türü için bir kimlik etiketi, her web sitesi veya hizmet için bir URL, ardından kullanıcı adları ve düz metin şifreleri içeriyordu. Fowler, şifre alanına Portekizce şifre kelimesi olan “Senha” olarak adlandırıldığını belirtiyor.
Fowler tarafından analiz edilen 10.000 kayıttan oluşan bir örnekte, 479 Facebook hesabı, 475 Google hesabı, 240 Instagram hesabı, 227 Roblox hesabı, 209 uyumsuzluk hesabı ve her biri 100’den fazla Microsoft, Netflix ve PayPal hesabı vardı. Bu örnek – sadece toplam pozlamanın küçük bir kısmı – Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress ve Yahoo girişlerini de içeriyordu. Fowler tarafından örneklemin anahtar kelime araması, “banka” kelimesinin 187 örneğini ve 57 “cüzdan” i iade etti.
Verileri indirmeyen Fowler, maruz kalan e -posta adreslerinin bir örneğiyle temasa geçtiğini ve bazılarından gerçek hesaplar olduklarını duyduğunu söylüyor.
Fowler, bireylerin yanı sıra maruz kalan verilerin potansiyel ulusal güvenlik riskleri de sunduğunu söylüyor. 10.000 örnek kayıtta .gov alan adlı 220 e -posta adresi vardı. Bunlar ABD, Avustralya, Kanada, Çin, Hindistan, İsrail, Yeni Zelanda, Suudi Arabistan ve Birleşik Krallık dahil olmak üzere en az 29 ülkeye bağlandı.
Fowler, veritabanını kimin bir araya getirdiğini veya giriş bilgilerinin nereden geldiğini belirleyemese de, bağlantılı olduğu barındırma şirketi World Host Group’a veri maruz kaldığını bildirdi. World Host Group, Wired tarafından temasa geçene kadar araştırmacıya yanıt vermese de, veritabanına erişim hızla kapatıldı.