35 मिलियन अमेरिकी निवासियों की निजी जानकारी वेब पर उजागर: रिपोर्ट
कंपेरिटेक शोधकर्ताओं की रिपोर्ट के अनुसार, अनुमानित 35 मिलियन लोगों के व्यक्तिगत विवरण वाला एक रहस्यमय मार्केटिंग डेटाबेस बिना पासवर्ड के वेब पर उजागर हो गया था। डेटाबेस में नाम, संपर्क जानकारी, घर का पता, जातीयता और शौक और रुचियों से लेकर खरीदारी की आदतों और मीडिया उपभोग तक की जनसांख्यिकीय जानकारी शामिल थी।
कंपेरिटेक शोधकर्ताओं द्वारा देखे गए फाइलों के नमूने से संकेत मिलता है कि अधिकांश रिकॉर्ड शिकागो, लॉस एंजिल्स और सैन डिएगो और उनके आसपास के क्षेत्रों के निवासियों से संबंधित हैं।
डेटाबेस को वेब ब्राउज़र और इंटरनेट कनेक्शन वाला कोई भी व्यक्ति पूर्ण रूप से एक्सेस कर सकता है। डेटाबेस की जानकारी का उपयोग लक्षित स्पैम और घोटाला अभियानों और फ़िशिंग के लिए किया जा सकता है। यह उन लोगों की गोपनीयता को भी खतरे में डालता है जो पते और/या संपर्क जानकारी सहित अपने व्यक्तिगत विवरण को प्रचारित नहीं करना चाहते हैं।
एक्सपोज़र की समयरेखा
कंपेरिएच की साइबर सुरक्षा अनुसंधान टीम के प्रमुख बॉब डियाचेंको ने 26 जून, 2021 को डेटाबेस की खोज की। हम नहीं जानते कि यह कितने समय पहले उजागर हुआ था।
अपने सभी साधन खर्च करने के बाद भी, हम डेटाबेस के मालिक की पहचान करने में असमर्थ रहे। डियाचेंको ने इसे हटाने का अनुरोध करने के लिए अमेज़ॅन वेब सर्विसेज से संपर्क किया, जिसने डेटाबेस के सर्वर को होस्ट किया था।
डेटा 27 जुलाई, 2021 तक उपलब्ध था।
कुल मिलाकर, जानकारी कम से कम एक महीने तक उजागर रही। हमारे हनीपोट प्रयोगों से पता चलता है कि साइबर अपराधी इस जैसे असुरक्षित डेटाबेस को ढूंढ और एक्सेस कर सकते हैं घंटों की बात है .
कौन सा डेटा उजागर हुआ?
इलास्टिक्स खोज डेटाबेस को अमेज़ॅन वेब सेवाओं पर होस्ट किया गया था और सार्वजनिक-सामना वाले किबाना इंटरफ़ेस के माध्यम से पहुंच योग्य था, जिसे पहुंच के लिए प्रमाणीकरण की आवश्यकता नहीं थी। इसमें कुल मिलाकर 35 मिलियन से अधिक रिकॉर्ड शामिल थे। उनमें से प्रत्येक रिकॉर्ड में निम्नलिखित सभी या कुछ जानकारी शामिल थी:
- पूरा नाम
- घर का पता
- जन्म तिथि
- फ़ोन नंबर
- मेल पता
- जातीयता
- लिंग
- वैवाहिक स्थिति
- पेशा
- श्रेणीबद्ध जनसांख्यिकीय डेटा. ये डेटा विषय के संकेतक हैं:
- रुचियाँ (ऑटोमोबाइल, वाइन, बुनाई, आदि)
- मीडिया खपत (पीसी गेमर, सैटेलाइट टीवी ग्राहक, ऑडियोबुक श्रोता, आदि)
- अनुमानित आय
- अनुमानित निवल मूल्य
- पालतू पशु स्वामित्व
- संपत्ति की जानकारी (अनुमानित घर का मूल्य, खरीद की तारीख, पूल है, आदि)
- जीवनशैली (एथलेटिक, संपन्न, उच्च तकनीक, आदि)
- खरीदारी की आदतें (क्रेडिट कार्ड स्तर, आभूषण खरीदना, क्रेडिट लाइनों की संख्या, आदि)
- संबद्धताएँ (दान के प्रकार, राजनीतिक दल, आदि)
प्रत्येक व्यक्ति के रिकॉर्ड में जानकारी के 268 क्षेत्र होते हैं, इसलिए हम यहां उन सभी पर विचार नहीं करेंगे।
अधिकांश डेटा विषय इलिनोइस और कैलिफोर्निया के निवासी प्रतीत होते हैं, हालांकि कुछ आसपास के राज्यों से जुड़े हुए हैं। कंपेरिटेक ने डेटाबेस में मौजूद जानकारी के वास्तविक होने की पुष्टि करने के लिए उजागर नामों और फोन नंबरों का उपयोग करके बहुत कम संख्या में डेटा विषयों से संपर्क किया।
डेटाबेस में प्रत्येक रिकॉर्ड में आठ या नौ अंकों का आईडी नंबर भी होता है। पहली नज़र में, इनमें से कुछ सामाजिक सुरक्षा नंबर प्रतीत होते हैं, लेकिन आगे की जांच के बाद हम अब ऐसा नहीं मानते हैं। फिर भी, हम अभी भी ड्यूपेज काउंटी निवासियों से सावधानी बरतने और पहचान की चोरी के प्रयास की किसी भी घटना की रिपोर्ट करने का आग्रह करते हैं एफटीसी .
डेटाबेस में कोई वित्तीय जानकारी या पासवर्ड नहीं थे।
डेटा कहां से आया?
हम नहीं जानते हैं।
हम ऐसा कोई सबूत नहीं खोज पाए हैं जो बताता हो कि डेटा किसका है। संभावित मालिकों के रूप में हमने जिन संगठनों से संपर्क किया, उन्होंने इस बात से इनकार किया कि डेटा उनका था। हमारा एकमात्र सुराग यह है कि होस्टिंग सर्वर का समय क्षेत्र कोलकाता, भारत पर सेट है।
डेटाबेस में टाइमस्टैम्प इंगित करते हैं कि जानकारी 2010 की शुरुआत में एकत्र की जानी शुरू हुई थी। मौजूदा जानकारी को अद्यतन किया गया था और हाल ही में मई 2021 में नई जानकारी जोड़ी गई थी।
डेटा संभवतः विपणन उद्देश्यों के लिए था।
रिकॉर्ड के एक महत्वपूर्ण हिस्से में 'स्रोत डोमेन' नामक एक फ़ील्ड शामिल है जो जानकारी के मूल पर संकेत दे सकता है। फ़ील्ड में अक्सर वेबसाइट डोमेन होते थे जहां डेटा मूल रूप से एकत्र किया जा सकता था। यदि सीधे तौर पर घोटाले नहीं होते तो वेबसाइटें अक्सर संदिग्ध होती थीं: किराए के घर, क्रूज़ उपहार, धन अग्रिम, नकद स्वीपस्टेक इत्यादि। इसलिए यह प्रशंसनीय लगता है कि यह एक स्पैम या घोटाला विपणन डेटाबेस है।
लेकिन उस व्यक्ति या संगठन की पहचान के बारे में जिसने सारा डेटा एकत्र किया और अंततः इसे वेब पर उजागर किया, हम नहीं जानते।
उजागर जानकारी के खतरे
संपर्क जानकारी के साथ जनसांख्यिकीय डेटा का संयोजन स्पैमर्स और स्कैमर्स के लिए सोने की खान है। वे व्यक्तिगत ईमेल, टेक्स्ट और कॉल के माध्यम से पीड़ितों से संपर्क करने के लिए जानकारी का उपयोग कर सकते हैं। शिकागो, लॉस एंजिल्स और सैन डिएगो के निवासियों को घोटालों और फ़िशिंग योजनाओं से सावधान रहना चाहिए।
कभी भी अनचाहे ईमेल में किसी लिंक पर क्लिक न करें और कोई भी व्यक्तिगत या वित्तीय जानकारी प्रदान करने से पहले हमेशा प्रेषक की पहचान सत्यापित करें।
यह जानकारी उन लोगों की गोपनीयता को भी खतरे में डालती है जो अपने नाम, संपर्क जानकारी और पते को प्रचारित नहीं करना चाहते हैं: घरेलू दुर्व्यवहार पीड़ित, अनिर्दिष्ट आप्रवासी, न्यायाधीश, वकील और पूर्व अपराधी, इनमें से कुछ नाम हैं।
हमने इस डेटा घटना की रिपोर्ट क्यों की?
कंपेरिटेक की साइबर सुरक्षा अनुसंधान टीम व्यक्तिगत जानकारी वाले असुरक्षित डेटाबेस के लिए नियमित रूप से इंटरनेट को स्कैन करती है। जब हमें कोई उजागर डेटाबेस मिलता है, तो हम तुरंत जांच करना शुरू कर देते हैं कि इसके लिए कौन जिम्मेदार है, कौन प्रभावित हो सकता है, कौन सा डेटा उजागर हुआ है और अंतिम उपयोगकर्ताओं पर इसका संभावित प्रभाव पड़ सकता है।
डेटा के लिए जो भी जिम्मेदार है उसकी पहचान करने के बाद, हम अपनी जिम्मेदार प्रकटीकरण नीति के अनुसार तुरंत उन्हें सचेत करते हैं। जैसे ही डेटा सुरक्षित हो जाता है और हमारी जांच पूरी हो जाती है, हम जागरूकता बढ़ाने और अंतिम उपयोगकर्ताओं को होने वाले नुकसान को रोकने के लिए इस तरह का एक लेख प्रकाशित करते हैं। इस मामले में, मालिक की पहचान करने में विफल रहने के बाद, हमने होस्टिंग प्रदाता अमेज़ॅन वेब सर्विसेज को सतर्क किया, जिसने हमारी ओर से मालिक से संपर्क किया।
पिछला डेटा घटना रिपोर्ट
कंपेरिटेक ने इस तरह की कई डेटा घटनाओं को पाया और रिपोर्ट किया है, जिनमें शामिल हैं:
- साइबर सुरक्षा कंपनी ने पिछले डेटा उल्लंघनों से 5 अरब रिकॉर्ड उजागर किए
- ब्रिटिश गैस सॉफ्टवेयर विक्रेता ने 3.6 मिलियन ग्राहक ईमेल पते उजागर किए
- भारतीय वीज़ा एजेंसी ने 6,500 यात्रियों के वीज़ा आवेदनों को वेब पर उजागर किया है
- यूटा COVID-19 परीक्षण सेवा ने 50,000 रोगियों की फोटो आईडी, व्यक्तिगत जानकारी को उजागर किया
- कार डीलर मार्केटिंग सेवा फ्रेंडेमिक ने 2.7 मिलियन उपभोक्ता रिकॉर्ड उजागर किए
- जिम श्रृंखला टाउन स्पोर्ट्स ने सदस्यों और कर्मचारियों के 600,000 रिकॉर्ड उजागर किए
- जेल फोन सेवा टेलमेट लाखों कैदियों के संदेशों, व्यक्तिगत जानकारी को उजागर करती है
- सोशल मीडिया डेटा ब्रोकर ने लगभग 235 मिलियन स्क्रैप्ड प्रोफाइल का खुलासा किया
- यूएफओ वीपीएन उपयोगकर्ता पासवर्ड सहित लाखों लॉग को उजागर करता है
- 42 मिलियन ईरानी 'टेलीग्राम' फ़ोन नंबर और उपयोगकर्ता आईडी का उल्लंघन किया गया
- यूके में लगभग 8 मिलियन ऑनलाइन खरीदारी का विवरण लीक हो गया
- 250 मिलियन Microsoft ग्राहक सहायता रिकॉर्ड ऑनलाइन उजागर किए गए
- 260 मिलियन से अधिक फेसबुक क्रेडेंशियल एक हैकर फोरम पर पोस्ट किए गए थे
- लगभग 3 अरब ईमेल पते लीक हो गए, जिनमें से कई संबंधित पासवर्ड के साथ हैं
- 188 मिलियन लोगों की विस्तृत जानकारी एक असुरक्षित डेटाबेस में रखी गई थी
- 2.5 मिलियन से अधिक सेंचुरीलिंक ग्राहक रिकॉर्ड लीक हो गए