Data satu miliar orang difilter di server yang tidak aman

Perusahaan pengayaan data adalah bisnis penting saat ini. Mereka menggabungkan data yang dimiliki perusahaan dengan data pihak ketiga sehingga perusahaan dapat membuat keputusan yang lebih tepat. Data yang kaya memberikan wawasan yang lebih mendalam tentang pelanggan perusahaan, dengan mana, dimungkinkan untuk menyesuaikan model bisnisnya untuk lebih beradaptasi dengan kebutuhan pelanggan saat ini atau masa depan.

Agar data relevan, semakin banyak informasi semakin baik; Inilah sebabnya mengapa perusahaan pengayaan data harus mengelola basis data yang berisi puluhan juta file. Informasi ini dapat mencakup data seperti alamat email, jumlah anak di rumah, nilai rumah, kebiasaan belanja … Informasi pribadi yang tak ternilai bagi penjahat cyber yang ingin mengambil keuntungan dari mereka, dan Anda harus melindungi agar mereka tidak mencapai pasar gelap.

Data yang disaring lebih dari satu miliar orang

Bahaya pengayaan data disorot pada pertengahan Oktober ketika ditemukan bahwa data pribadi 1,2 miliar orang terpapar online. Bob Diachenko dan Vinny Troia menemukan server Elasticsearch yang berisi sekitar 4 miliar akun pengguna – sekitar 4TB data secara total, dalam empat set data.

Diyakini bahwa data ini milik dua perusahaan pengayaan data. Tiga set data diberi label dengan nama perusahaan yang disebut "People Data Labs," sedangkan set ketiga diberi label "OXY," yang diyakini peneliti keamanan bisa menjadi Oxydata, perusahaan lain yang didedikasikan untuk kegiatan ini

Menjelaskan Vinny Troia, intelijen intelijen yang bertanggung jawab di Data Viper: “Sebanyak 1,2 miliar orang unik di semua kumpulan data, yang berarti bahwa ini adalah salah satu pelanggaran data terbesar dari satu organisasi dalam sejarah . Data yang difilter termasuk nama, alamat email, nomor telepon, informasi profil LinkedIn dan Facebook. "

Server Elasticsearch yang berisi data ini tidak memerlukan kata sandi atau tindakan keamanan lainnya untuk mengaksesnya. Namun, tidak jelas siapa yang bertanggung jawab karena akhirnya diekspos di server ini.

Server pencarian Elastics dan data pribadi

Ini bukan satu-satunya pelanggaran data yang kami lihat dalam beberapa bulan terakhir melibatkan server Elasticsearch. Pada awal November, ditemukan bahwa data pelanggan dari platform reservasi hotel, Gekko Group, telah terpapar pada server Elasticsearch yang tidak aman.

Peneliti keamanan menemukan database lebih dari 1TB di server yang bersangkutan, dalam format yang tidak dienkripsi. Gekko Group memiliki daftar pelanggan sekitar 600.000 hotel di seluruh dunia. Data yang terbuka mencakup nama, alamat, dan faktur yang berisi data pembayaran yang tidak dienkripsi.

Bahaya data yang disaring

Meskipun pelanggaran data tidak mengandung data pembayaran, ini dapat menimbulkan bahaya serius bagi orang yang datanya disaring. Alasan utama adalah kemungkinan melihat data ini digunakan dalam phishing. Peniruan identitas ini mungkin merupakan langkah pertama dalam ancaman dunia maya seperti phishing tombak.

Untuk korban pelanggaran data perusahaan, bisa ada konsekuensi yang sangat serius juga. Di bawah GDPR, jika perusahaan yang bertanggung jawab atas kesenjangan ini menangani data pribadi warga negara Eropa, mereka mungkin harus menghadapi denda hingga 4% dari pendapatan tahunan mereka atau 20 juta euro.

Bagaimana cara melindungi data pribadi

Cara terbaik untuk memastikan bahwa data pribadi yang dikelola perusahaan Anda aman, adalah dengan memiliki kontrol penuh atas data tersebut sehingga Anda tahu di mana mereka berada setiap saat. Panda Data Control adalah modul tambahan dari Panda Adaptive Defense yang khusus dibuat untuk mencegah akses, modifikasi, atau exfiltrasi data yang disimpan oleh perusahaan Anda. Audit dan temukan semua data pribadi yang tidak terstruktur (PII) di semua titik akhir. Dengan cara ini, Anda akan tahu tidak hanya data apa yang Anda miliki dan di mana Anda memilikinya, tetapi juga jika seseorang mengakses atau mencoba memodifikasinya.

Pelanggaran data ini telah menjadi salah satu yang paling masif dalam sejarah, tetapi ini bukan yang terakhir. Pastikan perusahaan Anda bukan yang berikutnya menderita pelanggaran data besar-besaran dengan Panda Data Control.