کشف بیش از ۱.۲ میلیارد رکورد داده در دیتابیس ناامن؛ مقصر کیست؟

محققان امنیتی سروری را شناسایی کرده اند که در آن بیش از یک میلیارد رکورد از قبیل نام و شماره تماس افراد بدون هیچ حفاظتی به حال خود رها شده بودند.

دو محقق امنیتی دارک وب به نام های «وینی ترویا» و «باب دیاچنکو» موفق به شناسایی یک سرور جستجوی «الاستیک سرچ» شده اند که در آن ۱.۲ میلیارد رکورد داده حساس بدون پیاده سازی معیارهای حفاظتی اولیه ذخیره و در اینترنت بارگذاری شده بود. این اطلاعات ارزشمند با حجمی در حدود ۴ ترابایت روی یکی از زیرساخت های ابری گوگل ذخیره شده اند.

داده های ذخیره شده در این دیتابیس ناامن شامل اسامی، عناوین شغلی، شماره تماس، محل سکونت، آدرس ایمیل، کارفرما و آدرس شبکه های اجتماعی کاربران بوده است. ترویا و دیاچنکو پس از اطمینان از وجود نقص امنیتی در سرور مساله را به پلیس فدرال آمریکا اطلاع دادند و در عرض چند ساعت سرور از دسترس خارج شد.

داده های افشا شده شامل ایندکسی است که نشان می دهد منبع آنها کمپانی People Data Labs بوده و حاوی دستکم ۶۲۲ میلیون آدرس ایمیل منحصر به فرد است. دفتر مرکزی PDL در سانفرانسیسکو واقع شده و در زمینه مهندسی داده های کاربران با شرکت های معتبری نظیر آدیداس و eBay همکاری می کند.

هرچند جمع آوری داده ها توسط این شرکت صورت گرفته اما سرور تحت مالکیت آنها قرار ندارد، بنابراین احتمالا یکی از مشتریان این شرکت در تامین امنیت دیتابیس ناکام مانده. البته از آنجا که امکان شناسایی کامپایلر مجموعه داده وجود ندارد، نمی توان به روشنی کاربرد آن را مشخص کرد و حتی بعید نیست این دیتابیس ناامن توسط گروه های تبهکار مورد استفاده قرار گرفته باشد.

نکته مهم در این رسوایی امنیتی حجم خیره کننده داده هایی است که بدون اطلاع از مالکان آن جمع آوری، ذخیره و تجاری سازی شده اند. احتمال سوءاستفاده از داده های کاربران داد افرادی مثل تیم کوک را هم در آورده. وی در روزهای اخیر بارها کسب درامد از داده های مشتریان را نکوهش کرده و از قانونگذاران خواسته قدم هایی برای جلوگیری از این روال بردارند.