image

Dataverzamelaar lekt gegevens van 57 miljoen Amerikanen

donderdag 29 november 2018, 10:04 door Redactie, 18 reacties

Een Canadees dataverzamelingsbedrijf heeft via een open Elasticsearch-server de gegevens van 57 miljoen Amerikanen gelekt. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten.

Door een misconfiguratie was de Elasticsearch-server van het bedrijf Data & Leads voor heel het internet toegankelijk en werd door de zoekmachine Shodan geïndexeerd. Beveiligingsonderzoeker Bob Diachenko ontdekte de server vervolgens via Shodan. In totaal bevatte die 73 gigabyte aan data. Het ging om namen, werkgever, beroep, e-mailadres, adresgegevens, telefoonnummer en ip-adres van 57 miljoen Amerikanen.

Het lukte Diachenko niet om Data & Leads te benaderen. Kort voordat hij zijn bevindingen openbaar maakte ging de website van het dataverzamelingsbedrijf offline. De database is niet langer meer toegankelijk en de gelekte e-mailadressen zijn aan Have I Been Pwned toegevoegd, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de 44 miljoen unieke e-mailadressen die in de database voorkwamen was 99 procent al via een ander datalek bij Have I Been Pwned bekend.

Reacties (18)
29-11-2018, 11:22 door Anoniem
Spijtig maar mooi. Dit soort zaken kan in de toekomst aangekaart worden om het dataverzamelen nog harder te gaan reguleren. Het is een beetje zoals dat er eerst ongelukken met wagens moesten zijn voordat autogordels verplicht zijn geworden.
29-11-2018, 11:45 door -karma4 - Bijgewerkt: 29-11-2018, 11:48
Door een misconfiguratie was de Elasticsearch-server van het bedrijf Data & Leads voor heel het internet toegankelijk en werd door de zoekmachine Shodan geïndexeerd.

Hoe krijg je het voor elkaar? Als (groot) bedrijf een server 'verkeerd' configureren. Bij de Yakuza zou dat de verantwoordelijke(n) meer dan één vingerkootje kosten!

https://youtu.be/G6wSjqozzqI
29-11-2018, 12:25 door Anoniem
En wat doen we eraan? "Nada, nic, niets". Overgaan tot de orde van de dag om dit door nitwits steeds te laten herhalen.
Steeds op oude thema's voortbordurende stommigheden.

Incompententie, ondergewaardeerd personeel, te laag betaald, too big to fail corporaties. Eigenlijk zijn alle goedkope excuses al "tig" keer op en nog doet men er bijkans niets aan. Hoe lang loopt het paard al achter de wagen? BDI, hoort u mij?

Net als bij het onveilig coderen met behulp van PHP, zelfs met een cheat sheet ernaast. En we leiden ze er nog voor op ook om hier mee door te gaan. Versie proliferatie, configuratiefouten, encryptie van onveilig naar veilig ingesteld, onbeveiligde blobs aan het internet gehangen, sub-domeinen, die ineens als ze gratis zijn niet meer van jou blijken (afraid dot org ellende). Onzichtbare cloud-onveiligheid. Geen best policies geset. Instellingen radicaal verkeerd ingesteld. Waar zijn de toezichthouders, waar blijven de grote boetes? Hier zou je handelsoorlogen moeten gaan voeren om een beetje normale beveiliging voor de globale burger af te dwingen. Men wil het kennelijk niet. Vraagt u zich maar af waarom eigenlijk bijft het op Internet het Wilde Westen?

Kennelijk is een "security through obscurity" omgeving een heerlijk moeras voor grote data-graaiers, zodat hun core busines en scheve praktijken niet gelijk voor het grote publiek duidelijk worden. Hoe krijg je hier nog ooit scheef recht gebreid?

Big Tech houdt ons allemaal gegijzeld met hun NSA etc.
29-11-2018, 16:44 door bollie
57 miljoen....ik kan er alleen nog maar hoofdschuddend naar kijken....
30-11-2018, 05:01 door Anoniem
Door bollie: 57 miljoen....ik kan er alleen nog maar hoofdschuddend naar kijken....

Het komt in de buurt van het totaal aantal slachtoffers van de Tweede Wereldoorlog. Misschien nog met de Eerste erbij opgeteld. Verder niks aan de hand want iedereen leeft nog. U kunt gewoon rustig gaan slapen.
30-11-2018, 08:55 door Anoniem
Have I been pwned laat niet specifiek zien of jouw gegevens gestolen zijn, enkel of er bij websites is ingebroken waar jij (ooit) geregistreerd staat/stond.
30-11-2018, 11:43 door bollie
Door Anoniem:
Door bollie: 57 miljoen....ik kan er alleen nog maar hoofdschuddend naar kijken....

Het komt in de buurt van het totaal aantal slachtoffers van de Tweede Wereldoorlog. Misschien nog met de Eerste erbij opgeteld. Verder niks aan de hand want iedereen leeft nog. U kunt gewoon rustig gaan slapen.

Wat de slachtoffers van de twee wereldoorlogen hiermee te maken hebben ontgaat me werkelijk volkomen.
Onsmakelijk deze gebeurtenissen hiermee in verband te brengen!

Ook beweer je dat "Ik nu weer rustig kan gaan slapen" alsof jij zou weten wat mij ongerust maakt!
Daar weet je helemaal niets van af! Ik vind je opmerkingen niet respectvol.

Dat de gegevens van steeds meer mensen op straat komen te liggen is een feit. Dat dit onrustbarend is
lijkt me vanzelfsprekend. Niet ter zake doende items erbij betrekken zoals de slachtoffers van oorlogen
helpt echt geen zier en laat alleen maar iets zien over je onvermogen een bijdrage aan de discussie te leveren.
30-11-2018, 14:09 door bollie - Bijgewerkt: 30-11-2018, 14:10
http://teletekst-data.nos.nl/webplus?p=129
Het gaat maar door en de lekken worden groter en groter...
30-11-2018, 14:55 door Anoniem
Door Anoniem: Have I been pwned laat niet specifiek zien of jouw gegevens gestolen zijn, enkel of er bij websites is ingebroken waar jij (ooit) geregistreerd staat/stond.

Jawel, Have I been pwnd verzameld alleen de gegevens van 'data leakages'. Dus als jouw email adres daar in staat, is die betrokken bij een van de data leakages (wordt ook netjes vermeld welke het is geweest).
Het is echter niet zo dat alle data lekken ook plaintext wachtwoorden bevatten.

Het kun dus wel zijn dat je email bekend is (en eventueel andere data), maar geen wachtwoord.
30-11-2018, 23:08 door Anoniem
Je kunt ook controleren of het wachtwoord dat je gebruikt, ergens ooit is uitgelekt. Als ik dan als antwoord krijg dat het betreffende wachtwoord nergens gevonden is, dan denk ik: hm, ik heb zojuist een wachtwoord ingetikt op een site die misschien ondertussen nog meer van mij weet (IP adres?) en reden heeft om te vermoeden dat de code die ik net ingaf, een wachtwoord is dat ik gebruik of wil gaan gebruiken. Ok, forget it. Ander wachtwoord.
01-12-2018, 12:05 door karma4
Door THE FOSS - FREE RADICAL: Hoe krijg je het voor elkaar? Als (groot) bedrijf een server 'verkeerd' configureren. Bij de Yakuza zou dat de verantwoordelijke(n) meer dan één vingerkootje kosten!
https://youtu.be/G6wSjqozzqI
Een bedrijf die iets verkeerd configureert en dan https://nl.wikipedia.org/wiki/Yakuza er bij halen? Als dat de wereld is waar je naar toe wil is dat jouw keus. De meesten zijn er slachtoffers van en verwensen het.

Een bedrijf mag dan wel hiëarchisch georganiseerd zijn, gewoonlijk is er geen dictatorschap maar is er sprake van een rat-race. Nuttige lectuur http://gossekorte.blogspot.com/2011/09/hoe-wordt-ik-een-rat-samenvatting-joep.html
Waarschijnlijk ken je het al, alleen al "hoe krijg je het als bedrijf voor elkaar"

De achterliggende gebeurtenissen hoogst waarschijnlijk:
- De manager wilt wat, maar het moet vooral goedkoop en snel
- Een nerd biedt wat aan te doen gratis en voor niets.
- policies richtlijnen testen zijn duur dus overslaan. Iedereen doet het wat kan we mis gaan....
En daar gaat het hellende vlak van informatieveiligheid.
01-12-2018, 14:53 door Anoniem
@karma4,

Dus zou er in ieder geval iemand aan het roer moeten staan van de tent met verstand van zaken.

Niet de CEO met de communicatie en business school papieren en de juiste netwerkconnecties
(niet voor dit soort networking helaas), maar iemand uit het veld met relevante kennis op het gebied van IT,
tenminste bij Big Data Tech toch zeker.

Maar ja er worden nergens zulke eisen gesteld, niet voor het opzetten van onveilige websites,
niet bij applicatie ontwerpers. Achteraf een beetje lopen dweilen met de kraan open,
maakt het echt niet veiliger.

luntrus
01-12-2018, 18:13 door -karma4 - Bijgewerkt: 01-12-2018, 19:01
Door karma4:
Door THE FOSS - FREE RADICAL: Hoe krijg je het voor elkaar? Als (groot) bedrijf een server 'verkeerd' configureren. Bij de Yakuza zou dat de verantwoordelijke(n) meer dan één vingerkootje kosten!
https://youtu.be/G6wSjqozzqI
Een bedrijf die [sic!] iets verkeerd configureert en dan https://nl.wikipedia.org/wiki/Yakuza er bij halen? Als dat de wereld is waar je naar toe wil is dat jouw keus. De meesten zijn er slachtoffers [sic!] van en verwensen het.

Je kan zeggen wat je wil maar het afrekenen op verantwoordelijkheid hebben ze goed voor elkaar! Het zou denk ik een bijzonder effectieve aanpak blijken (om korte metten te maken met dat halfslachtige 'misconfigureren' van productieservers gepruts).
01-12-2018, 19:29 door Anoniem
Door bollie:
Door Anoniem:
Door bollie: 57 miljoen....ik kan er alleen nog maar hoofdschuddend naar kijken....

Het komt in de buurt van het totaal aantal slachtoffers van de Tweede Wereldoorlog. Misschien nog met de Eerste erbij opgeteld. Verder niks aan de hand want iedereen leeft nog. U kunt gewoon rustig gaan slapen.

Wat de slachtoffers van de twee wereldoorlogen hiermee te maken hebben ontgaat me werkelijk volkomen.
Onsmakelijk deze gebeurtenissen hiermee in verband te brengen!

Ook beweer je dat "Ik nu weer rustig kan gaan slapen" alsof jij zou weten wat mij ongerust maakt!
Daar weet je helemaal niets van af! Ik vind je opmerkingen niet respectvol.

Dat de gegevens van steeds meer mensen op straat komen te liggen is een feit. Dat dit onrustbarend is
lijkt me vanzelfsprekend. Niet ter zake doende items erbij betrekken zoals de slachtoffers van oorlogen
helpt echt geen zier en laat alleen maar iets zien over je onvermogen een bijdrage aan de discussie te leveren.

Ok. Vergeet de oorlogen even. 57 miljoen, dat zijn 11.400 voetbalvelden vol met mensen (op elke vierkante meter eentje).

De webtellers lopen vaak dusdanig op dat men gemakkelijk vergeet dat het allemaal om mensen gaat. De schaal loopt dusdanig op, dat die ene meer of minder er al helemaal niet meer toe doet. Daarmee de associatie. Gewoon even 11.400 voetbalvelden vol mensen hun gegevens nonchalant op een misgeconfigureerde bak laten staan. Laat je die schouder op schouder staan, dan ben je al op een derde van de afstand naar de maan.

Er is een verschil tussen long integers en mensen. En dat is wel eens vaker uit het oog verloren in de geschiedenis.
01-12-2018, 19:43 door karma4
Door Anoniem: @karma4,
Dus zou er in ieder geval iemand aan het roer moeten staan van de tent met verstand van zaken.

Niet de CEO met de communicatie en business school papieren en de juiste netwerkconnecties
(niet voor dit soort networking helaas), maar iemand uit het veld met relevante kennis op het gebied van IT,
tenminste bij Big Data Tech toch zeker.

Maar ja er worden nergens zulke eisen gesteld, niet voor het opzetten van onveilige websites,
niet bij applicatie ontwerpers. Achteraf een beetje lopen dweilen met de kraan open,
maakt het echt niet veiliger.

luntrus
Eens Luntrus, klopt. Nu de gewetensvraag, heb je ooit het niet te benijden genoegen gehad top figuren te horen praten hoe zij er over denken? Het interesseert ze gewoonlijk niets, wisseling van de wacht om de 2 jaar als je wilt doorstromen naar de top. Voor dat spel gelden heel aparte regels. Alleen bij de eerste banen zeer lang geleden zag ik nog iets van een ethische bevlogenheid.
Gaat het mis dan zijn de gevolgen voor een ander is het credo. En dan moet je dat niet intern hebben maar liefst buiten de toko. Als je het naar de klant kan verleggen des te beter.
01-12-2018, 21:07 door Anoniem
Tip voor alle security mannen. Voor elke database waar je mee werkt. Beeld je in dat de er zelf ook in staat. En je moeder en je zus. En ook die fotos omdat je toch eens wou proberen of dat ding ook in het donker werkt. Omdat iedereen dat tegenwoordig doet. En wat van de gesprekken met je advocaat en je fiscaal adviseur. Waarvan je later pas begrijpt dat je sommige dingen niet eens had hoeven zeggen. De gesprekken met je arts, die later ook in droge grond vielen. De sessies met je psycholoog en alles wat je ineens over je jeugd vertelde. Zomaar. En die vertrouwelijke bekentenis over dat appeltje dat je ooit gepikt hebt bij de groentenboer.

Beeld je in dat dat ook allemaal in die database staat. En ga er dan mee om vanuit die gedachte.

Als het een database van 57 miljoen mensen is, vermenigvuldig dat gevoel dan met 57 miljoen.

Lek kan alles. Maar ga voor jezelf in elk geval de geschiedenis in als iemand die alles gedaan heeft. Alsof het om je eigen gegevens ging. En die van je moeder.

Dan zullen we al vele stappen verder zijn.

Onderschat ook je eigen arrogantie niet dat je denkt dat je alles weet. Die bijt soms nog het hardste als bleek dat dat niet helemaal klopte.
02-12-2018, 14:57 door karma4
Intussen in het nieuws: starwood marriot 300 - 500 miljoen betrokken klanten in het spg programma. Gedurende 4 jaar onontdekt door kunnen gaan. De bedrijfspolitiek hoe dat heeft kunnen gebeuren is best interessant.
Je kunt er van uit gaan dat je ook in staat als je een keer bij ze geboekt hebt.
02-12-2018, 16:25 door Anoniem
Maar het moet je wel verteld worden. Het liefst werd al aan kleine kinderen uitgelegd, dat het wegnemen van een toffee in het grote warenhuis je bijkans voor eeuwig zou kunnen verdoemen. Je handje groeide zeker boven je grafje uit later.

Ook geloofde kinderen dat Erasmus van Rotterdam een bladzijde van zijn boek om zou slaan, als hij de klok van de St.Laurens zou horen slaan. Maar ja een beeld heeft immers wel oren, maar hoort natuurlijk daaruit niets.

Anoniem van 21.07 heeft natuurlijk gelijk. Maar wij als burgers leggen de gevolgen niet het liefst neer bij het "gemeen" en wijzen zelfs nog steeds naar onszelf als veroorzakers.

De clou is dat ze overal al toestemming voor hebben gevraagd. U bent er toch al via EULA's en gebruiksvoorwaarden mee akkoord gegaan om al uw data kwijt te spelen. Vreemde manier van karma-inzicht bij deze grote spelers. Als ze je wat aandoen en ze hebben daarvoor toestemming gevraagd, kunnen ze dat straffeloos en zonder gevolgen voor hen doen. Zo werkt volgens hen de vrije wil binnen het universum. Je moet het maar weten om te kunnen begrijpen. Of ze helemaal gelijk gaan krijgen, meen ik echter te betwijfelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.