Beveiligingsonderzoekers hebben vorige maand een onbeveiligde cloudserver ontdekt met een verzameling gebruikersgegevens van minstens 1,2 miljard unieke personen. De grootte van het lek is volgens experts nagenoeg ongezien.
De server in kwestie, een onbeveiligde Elasticsearch-server op Google Cloud, werd op 16 oktober ontdekt door beveiligingsonderzoekers Bob Diachenko en Vinny Troia. Het gaat om meer dan 4 terabyte aan data van zo’n 4 miljard gebruikersaccounts.
De onderzoekers telden gegevens van meer dan 1,2 miljard unieke personen, waardoor dit volgens hen één van de grootste datalekken ooit is vanuit een enkele bron. De gelekte data bevatten namen, e-mailadressen, telefoonnummers en profielinformatie van verschillende platformen zoals Facebook, LinkedIn, Twitter en GitHub. De server bevatte geen wachtwoorden, creditkaarnummers of andere gevoelige informatie.
Wired sprak met Troia, die de schaal van het datalek ongezien noemt. “Dit is de eerste keer dat ik al deze sociale mediaprofielen verzameld en samengevoegd zie met profielinformatie in een enkele database op deze schaal.” Hij waarschuwt dat de data een schat aan informatie vormt voor identiteitsfraude of accountdiefstal. “Je hebt namen, telefoonnummers en bijbehorende account-url’s. Dat is veel informatie op één plaats om je op weg te helpen.”
Onbekende afkomst
Het is vooralsnog onduidelijk wie eigenaar is van de server, alsook of andere partijen de data reeds hebben gedownload voor ze door Troia en Diachenko werden ontdekt. De onderzoekers brachten de FBI op de hoogte en enkele uren later waren de server en de blootgestelde data offline gehaald.
Hoewel Troia en Diachenko niet weten van wie de server is, hebben ze wel een goed idee van waar de data afkomstig zijn. Ze ontdekten dat het om een viertal datasets gaat, die bij elkaar werden gegooid. Die datasets zijn volgens de onderzoekers afkomstig van twee zogenaamde data brokers of gegevensmakelaars: People Data Labs en Oxydata. Dat zijn beide Amerikaanse bedrijven die actief zijn in het kopen en verkopen van gebruikersdata.
De bedrijven benadrukken allebei tegenover Wired dat de server niet van hen is en ze niet gehackt zijn. Ze geven evenwel toe dat de informatie wel op legitieme wijze bij hen verkregen zou kunnen zijn. Hoewel ze strenge gebruiksvoorwaarden hanteren voor de data die ze verhandelen, kan geen van beide uitsluiten dat één van hun klanten de gegevens verkeerd heeft gebruikt.
Lekken in de cloud
Het datalek dat door Troia en Diachenko werd ontdekt, is één van de grootste tot nu toe, maar zal zeker niet het laatste zijn op deze schaal. Begin dit jaar werd een verzameling van meer dan 2,2 miljard gebruikersgegevens, bekend als Collections #1-5, verspreid op hackerfora. Die data waren afkomstig uit verschillende eerdere lekken, maar bevatten ook nieuwe data.
Het is niet gezegd dat dit nieuwe datalek met slechte bedoelingen publiek beschikbaar werd gemaakt. Een misconfiguratie in de cloud is immers snel gebeurd. Zo schat Gartner dat tegen 2023 99 procent van de succesvolle hacks in de cloud te wijten zijn aan een fout van de gebruiker.
Deze zomer nog lekte minstens 1 terabyte aan data van verschillende Fortune 100-bedrijven via drie verkeerd geconfigureerde AWS S3-buckets van bigdatabedrijf Attunity en konden cybercriminelen tienduizenden fout geconfigureerde S3-buckets infecteren met malware om betaalgegevens te stelen.
Techzine heeft ondertussen al met verschillende experts over security in de cloud gesproken, en die zijn het allemaal over een ding eens: we zullen in de toekomst alleen nog meer datalekken op grote schaal meemaken, zolang we onze cloudsecurity niet op orde krijgen. En dat is de verantwoordelijkheid van zowel de cloudleverancier als de gebruiker.