神秘围绕泄漏了四亿用户记录

有关超过十亿人的个人数据，包括电子邮件地址，电话号码和LinkedIn和Facebook个人资料信息，通过开放和无担忧的弹性搜索服务器在线泄露，但其实际源在神秘处笼罩。

通过研究人员Bob Diachenko和Vinny Troila的威胁情报平台数据毒蛇，数据被发现。DIACHENKO和TROIB通过Web浏览器访问和下载数据，而无需任何密码或身份验证。

在详细说明本公开的博客帖子中，Troib表示，他发现了四个数据跨越四个单独的索引，标记为“PDL”和“OXY”的数据。

其中第一个数据集以及其他有关15亿独特的数据的数据，其中一十亿个个人电子邮件地址，包括加拿大数百万决策者的工作电子邮件，英国和美国，4.2亿个环球网址，十亿个Facebook URL和ID，超过400万个电话号码和200万美元的美国手机号码。第二个数据集包含来自LinkedIn配置文件的已刮擦数据，包括关于招聘人员的信息。

他说，根据他的分析，这使他认为数据起源于两个数据聚合公司，人们数据实验室和Oxydata.io。然而，在联系两家公司的情况下，根据有线，首次报告故事，Troib被告知有问题的服务器不属于其中任何一个。

在进一步的调查之后，Troiro透露，即使他能够确定两个公司持有的数据，他无法找到与这些拒绝相矛盾的证据。特别是，似乎可以消除人员数据实验室的重要证据是它的API似乎似乎使用AWS，而在Google Cloud中找到了不安全的Elasticsearch Server。

“这是一个令人难以置信的棘手和不寻常的情况，”Troiro写道。“狮子的数据的份额被标记为”PDL“，表明它起源于人们数据实验室。但是，据我们所知，泄露数据的服务器与PDL无关。

“这个神秘组织是如何获得数据的？他们是当前或前客户吗？如果是，则服务器上发现的数据表示该公司是人们数据实验室和Oxydata的客户。“

Troia理论上，如果它确实是对两个数据集的合法访问的客户，那将表明数据被滥用而不是被盗，尽管他承认这对参与者的任何人都很令人欣慰。

他写的是，数据泄漏的技术性使得难以识别谁负责。例如，谷歌不会分享其客户的信息，而执法能申请此信息，则无权强制披露。

始发公司也能够争论神秘服务器所有者负责，即使在道德上有一个强有力的情况，他们应该通知所涉及的问题。

“由于包括纯粹的个人信息量，结合识别数据所有者的复杂性，这有潜在提出关于我们目前隐私和违规通知法的有效性的问题，”罗利亚写道。

据Cyber​​ Ark的说法，虽然泄漏缺乏诸如密码或信用卡详细信息 - 这将使您对网络犯罪分子有价值，这是它公开电子邮件地址，电话号码和社交媒体概况的事实，仍然是一个大的交易。 EMEA高级副总裁，富有特纳。

“[这]进行网络钓鱼探险或试图以否则找到，简介和妥协高价值目标 - 习惯性或组织 - 这更容易，”他说。

“存储库中的大量数据包含足够的智能和细节，以推出一个有针对性的广告系列，这将允许动机组或杀戮获取访问，凭据和其他高度值得注意的信息。”

“多年来，已经暴露了数百亿岁的在线账户，这意味着地球面对地球上每个人的个人信息已经被盗了20次或更多次，”Cyber​​eason首席安全官Sam Curry说。

“这种最新曝光就像天文学：数十亿美元，不再是个人的或意味着什么。实际上，这种数据违规是一种缺点，消费者需要重新思考自己的安全卫生。今天，每个人都应该假设他们的私人信息已经被盗了无数次，并且将继续越来越多地威胁的威胁演员。“