پژوهشگران امنیتی به تازگی هشدار دادهاند که با نفوذ به سرورهای «الستیکسرچ»، اطلاعات بیش از یکمیلیارد نفر در سرتاسر جهان فاش شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دو محقق امنیتی به تازگی اعلام کردند که چهارمیلیون رکورد اطلاعاتی ۱.۲ میلیارد نفر از سرورهای «الستیکسرچ» (Elasticsearch)، مورد حمله سایبری واقع شدهاست. حجم این اطلاعات به ۴ ترابایت میرسد.
اطلاعات یاد شده متعلق به شرکتهای کارگزار داده (Data Broker) «پیپل دیتا لبز» (People Data Labs) و «OxyData.Io» هستند. این دادهها مواردی پایهای مانند نام، آدرس خانه، شماره تلفن همراه، ایمیل و حسابهای کاربری فیسبوک، لینکدین و چندین شبکه اجتماعی دیگر را شامل میشود. این اطلاعات نمای کاملی از هر فرد را به نمایش میگذارند و برای مشاهده آنها نیازی به ورود به حساب کاربری وجود ندارد.
بر پایه گزارش مذکور تعدادی از قربانیان شامل موارد زیر میشوند:
• بیش از ۱.۵ میلیارد کاربر منحصربهفرد که حدود ۲۶۰ میلیون نفر از آنها در آمریکا هستند.
• بیش از یک میلیارد آدرس ایمیل که ۷۰ درصد آنها متعلق به حسابهای کاربری کاری تصمیمگیرندگان آمریکا، انگلیس و کانادا است.
• بیش از ۴۲۰ میلیون آدرس لینکدین
• بیش از ۱ میلیارد شناسه و آدرس فیسبوک
• بیش از ۴۰۰ میلیون شماره تلفن که بیش از ۲۰۰ میلیون آن به نمونههای واقعی آمریکا تعلق دارند.
کارشناسان شرح دادند در تماس با شرکتهای یاد شده، هر دوی آنها مالکیت سرور را رد کردند. با وجود این، دادهها این موضوع را تأیید میکنند.
محققان شرح دادند: «برای بررسی این موضوع که دادهها به PDL تعلق دارند یا نه، یک حساب کاربری رایگان روی وبسایت آنها ایجاد کردیم که امکان دسترسی به اطلاعات یکهزار نفر را در ماه فراهم میکند. دادههای شناسایی شده روی سرور الستیکسرچ تقریباً با نمونههای بازگشت داده شده از جستوجو در PDL API برابر بودند.»
از طرفی OxyData یک کپی از پروفایلهای خود را برای محققان ارسال کردهبود که شباهت کامل را نشان میداد.
محققان توضیح دادند در حالی که مشخص شدهاست دادهها بهطور قطع متعلق به دو شرکت مذکور هستند؛ اما نحوه وجود آنها روی سرورهای مذکور قابلدرک نیست.
وینی ترویا (Vinny Troia)، یکی از کارشناسان مذکور، گفت: مورد یاد شده یک شرایط غیرمعمول است. با وجود این که بخش عظیمی از دادهها متعلق به PDL هستند، سروری که دادههای آن فاش شدهاست، هیچگونه ارتباطی با دیتا لبز ندارد. این مسئله خود سؤالات بسیار دیگری را به وجود میآورد؟ اول اینکه هکرها چگونه به دادهها دسترسی پیدا کردهاند؟ آیا مشتری فعلی یا گذشته سرور هستند؟ اگر پاسخ مثبت است مشخص میشود که این شرکت مشتری PDL و OxyData است. تنها سرنخ این موضوع یک آدرس آیپی است که توسط گوگل کلود میزبانی میشود.
ترویا ادامه داد که هیچیک از قربانیان نمیدانند که آلوده شدهاند؛ زیرا مشخص نیست سرور مذکور را چه شرکتی اداره میکند.
هکرها با سوءاستفاده از دادههای بالا میتوانند طیف مختلفی از حملات مانند فیشینگ و باجافزاری هدفمند را اجرا کنند. همین موضوع، طیف وسیعی از حریم خصوصی کاربران سرتاسر جهان را به خطر میاندازد.