Niechroniona baza danych, prawdopodobnie zawierająca dane z procedur „poznaj swojego klienta” (KYC), ujawniła ogromne ilości rekordów osobistych w wielu krajach, w tym w USA, Niemczech, Francji, Chinach, Brazylii i wielu innych.
Procedury KYC stanowią kręgosłup cyfrowej gospodarki, umożliwiając działanie usług cyfrowych na całym świecie. Jednak aby KYC funkcjonowało w sposób zaufany, dane przesyłane przez użytkowników muszą pozostać ściśle między nimi a sprzedawcą.
Niestety, nie zawsze tak jest. Zespół badawczy Cybernews odkrył niedawno ogromną, otwartą bazę danych zawierającą prawie terabajt danych.
Wyciekłe szczegóły obejmują skarbnicę danych osobowych (PII), w tym pełne imiona i nazwiska oraz adresy, a także krajowe dokumenty tożsamości i numery telefonów. Ujawniona instancja MongoDB zawierała kilka baz danych, obejmujących osoby z 26 krajów, co czyni ten wyciek prawdziwie globalnym.
Nasz zespół uważa, że ujawniona baza danych należy do IDMerit, dostawcy rozwiązań do weryfikacji tożsamości cyfrowej opartej na sztucznej inteligencji. Firma obsługuje sektory fintech i usług finansowych, pomagając przedsiębiorstwom za pomocą narzędzi weryfikacji w czasie rzeczywistym. Praktyki KYC są światową normą dla użytkowników weryfikujących swoją tożsamość podczas zakładania różnych kont.
Nasi badacze zauważyli ujawnioną instancję 11 listopada i natychmiast skontaktowali się z firmą, która bezzwłocznie zabezpieczyła bazę danych. Nie mamy dowodów na to, że złośliwi aktorzy niewłaściwie wykorzystali ten zestaw danych. Jednak zautomatyzowane roboty (crawlers) skonfigurowane przez cyberprzestępców przeszukują sieć w poszukiwaniu ujawnionych instancji, pobierając je natychmiast.
Skontaktowaliśmy się z firmą z prośbą o komentarz i zaktualizujemy ten artykuł, gdy tylko otrzymamy odpowiedź.
Jakie informacje ujawnił globalny wyciek danych?
Baza danych o pojemności jednego terabajta ujawniła liczne identyfikatory osobiste. Według naszego zespołu poziom ujawnionych informacji osobistych różni się w zależności od kraju, jednak ujawnione szczegóły obejmują:
- Pełne imiona i nazwiska
- Adresy
- Kody pocztowe
- Daty urodzenia
- Krajowe numery identyfikacyjne (ID)
- Numery telefonów
- Płeć
- Adresy e-mail
- Metadane telekomunikacyjne
- Status naruszenia i adnotacje profili społecznościowych
Ostatni punkt danych – status naruszenia i adnotacje profili społecznościowych – może odnosić się do identyfikatora bazy danych wskazującego, czy dane pochodzą z wycieku danych lub ujawnionej bazy. Jednak w tym momencie prawdziwe znaczenie tego punktu danych jest niejasne. Zespół zauważył, że ten konkretny punkt danych był obecny tylko w niektórych regionach.
„Przy tej skali zagrożenia wtórne obejmują przejmowanie kont, ukierunkowany phishing, oszustwa kredytowe, ataki typu SIM swap oraz długofalowe szkody dla prywatności. W skali całej branży przypadek ten podkreśla, jak zewnętrzni dostawcy usług tożsamości stali się infrastrukturą krytyczną i mogą stać się pojedynczymi punktami katastrofalnej awarii” – wyjaśnił nasz zespół.
Globalny wyciek danych obejmuje wiele krajów
To, co najbardziej uderza w wycieku danych IDMerit, to jego skala i globalny zasięg geograficzny, z trzema miliardami rekordów obejmujących ponad 20 krajów. Kilka baz danych wydawało się zawierać nakładające się na siebie wycinki dla tego samego kraju. Jednak nasz zespół uważa, że większość rekordów była unikalna.
Krajem z największą liczbą ujawnionych rekordów były Stany Zjednoczone, gdzie wyciekło ponad 203 miliony rekordów. Za USA uplasowały się Meksyk (124 mln) i Filipiny (72 mln). Za pierwszą trójką widzimy trio państw europejskich: Niemcy (61 mln), Włochy (53 mln) i Francję (53 mln).
Z 3 miliardów ujawnionych rekordów, 1 miliard jest przypisany do różnych krajów i prawdopodobnie ujawnia wrażliwe dane. Kolejne 2 miliardy to prawdopodobnie różne logi bazodanowe, które są zapewne mniej wrażliwe.
„Przy tej skali zagrożenia wtórne obejmują przejmowanie kont, ukierunkowany phishing, oszustwa kredytowe, ataki typu SIM swap oraz długofalowe szkody dla prywatności. W skali całej branży przypadek ten podkreśla, jak zewnętrzni dostawcy usług tożsamości stali się infrastrukturą krytyczną i mogą stać się pojedynczymi punktami katastrofalnej awarii” – powiedział nasz zespół.
„Z punktu widzenia atakującego baza danych zawiera identyfikatory wysokiego ryzyka: wiele regionów obejmuje krajowe numery ID, pełne daty urodzenia i dane kontaktowe, które są głównymi składnikami kradzieży tożsamości, ataków typu SIM-swapping i inżynierii społecznej” – stwierdzili nasi badacze.
Co więcej, cyberprzestępcy uwielbiają odpowiednio ustrukturyzowane dane, ponieważ umożliwiają im one łatwą automatyzację kampanii na dużą skalę. Dbałość o strukturyzację danych jest tak silna, że atakujący spędzają miesiące na kompilowaniu znacznie mniej groźnych szczegółów, tylko po to, by udostępnić je na forach z wyciekami danych dla zdobycia uznania.
Badacze zauważają również, że rodzaje ujawnionych danych różnią się w zależności od regionu, tworząc odrębne ryzyka dla każdego z nich. Na przykład brazylijskie rekordy „prefill” (wstępne wypełnianie) zawierają flagi profili społecznościowych i „databreachesinfo”, co może umożliwić ukierunkowane oszustwa.
Tymczasem kilka krajów posiadało zbiory „idmtelco”, co sugeruje wzbogacanie danych o informacje telefoniczne i możliwy związek ze zbiorami danych telekomunikacyjnych, narażając ujawnione osoby na zwiększone ryzyko ataku SIM swapping – rodzaju oszustwa, w którym przestępca przejmuje kontrolę nad numerem telefonu komórkowego ofiary.
