Um dos maiores recentes vazamentos da história expôs dados de mais de 1,2 bilhão de indivíduos. As informações, disponíveis publicamente, foram adquiridas por duas empresas de enriquecimento de dados – People Data Labs e Oxydata – que agregam elementos pessoais de milhões de pessoas e as vendem para clientes. As companhias envolvidas não souberam dizer como os dados chegaram lá.

As informações vazadas consistem em nomes, endereços de email, números de telefone e informações do perfil do Facebook e do LinkedIn, incluindo dados do histórico profissional. O vazamento provém de um total de quatro bilhões de conjuntos de dados individuais arquivados em 4 TB de armazenamento.

A empresa de pesquisa de segurança Data Viper afirmou que as informações estavam disponíveis para qualquer pessoa em https://35.199.58.125:9200, sem necessidade de senha ou qualquer tipo de autenticação. Seus índices incluem alguns que começam com pdl e oxy, que contêm a maioria dos dados pessoais. Essas iniciais apontam para as empresas de enriquecimento de dados People Data Labs e Oxydata. Quando abordados pelo Data Viper para comentar o caso, elas disseram que não possuíam os servidores.Reprodução

Os pesquisadores de segurança não conseguiram de fato determinar quem é o responsável pelo vazamento, porque o provedor de nuvem que hospeda o servidor não compartilha nenhuma informação sobre seus clientes por questões de privacidade. É provável que os dados sejam provenientes de um cliente dessas empresas de enriquecimento de dados. As informações não precisam necessariamente ser roubadas, podem ter sido apenas armazenadas incorretamente. No entanto, isso é claramente contrário a qualquer diretriz de segurança de TI.

Por um preço muito baixo, empresas de enriquecimento de dados permitem a coleta de uma única informação sobre uma pessoa e expandir esse perfil de usuário para incluir centenas de novas conhecimentos adicionais. Os dados coletados de uma pessoa podem conter informes de finanças, renda, tamanho da família, preferências políticas e religiosas ou até mesmo as atividades sociais preferidas.

Cada vez que uma empresa escolhe “enriquecer” um perfil, ela concorda em fornecer o que sabe sobre a pessoa à organização enriquecedora. Os dados resultantes continuam a ser compostos, criando uma situação sem supervisão que permite que todas as informações pessoais e sociais sejam baixadas.

Via: Android Police