Datos personales de 35 millones de residentes de EE. UU. expuestos en la web: informe

Una misteriosa base de datos de marketing que contiene datos personales de aproximadamente 35 millones de personas quedó expuesta en la web sin contraseña, informan investigadores de Comparitech. La base de datos incluía nombres, información de contacto, domicilios, etnias y una gran cantidad de información demográfica que iba desde pasatiempos e intereses hasta hábitos de compra y consumo de medios.

La muestra de archivos vistos por los investigadores de Comparitech indicó que la mayoría de los registros pertenecían a residentes de Chicago, Los Ángeles y San Diego, y sus áreas circundantes.

Cualquiera que tenga un navegador web y una conexión a Internet puede acceder a la base de datos en su totalidad. La información de la base de datos podría utilizarse para campañas de spam, estafas y phishing dirigidos. También amenaza la privacidad de las personas que no quieren que se publiquen sus datos personales, incluida la dirección y/o la información de contacto.

Cronología de la exposición

Bob Diachenko, jefe del equipo de investigación de ciberseguridad de Compariech, descubrió la base de datos el 26 de junio de 2021. No sabemos cuánto tiempo estuvo expuesta antes.

Después de utilizar todos los medios a nuestro alcance, no pudimos identificar al propietario de la base de datos. Diachenko recurrió a ponerse en contacto con Amazon Web Services, que alojaba el servidor de la base de datos, para solicitar que la eliminaran.

Los datos estuvieron accesibles hasta el 27 de julio de 2021.

En total, la información estuvo expuesta durante al menos un mes. Nuestros experimentos con honeypot muestran que los ciberdelincuentes pueden encontrar y acceder a bases de datos no seguras como esta en una cuestión de horas .

¿Qué datos quedaron expuestos?

La base de datos de Elasticsearch estaba alojada en Amazon Web Services y era accesible a través de una interfaz Kibana pública que no requería autenticación para acceder. Contenía más de 35 millones de registros en total. Cada uno de esos registros contenía toda o parte de la siguiente información:

• Nombre completo
• Direccion de casa
• Fecha de nacimiento
• Número de teléfono
• Dirección de correo electrónico
• Etnicidad
• Género
• Estado civil
• Ocupación
• Datos demográficos categóricos. Estos son indicadores de la del interesado:
  • intereses (automóviles, vino, tejido, etc.)
  • consumo de medios (jugador de PC, suscriptor de televisión por satélite, oyente de audiolibros, etc.)
  • ingresos estimados
  • precio neto estimado
  • tenencia de mascotas
  • información de la propiedad (valor estimado de la vivienda, fecha de compra, piscina, etc.)
  • estilo de vida (atlético, acomodado, alta tecnología, etc.)
  • hábitos de compra (nivel de tarjeta de crédito, compra de joyas, número de líneas de crédito, etc.)
  • afiliaciones (tipos de organizaciones benéficas, partidos políticos, etc.)

El registro de cada persona contiene 268 campos de información, por lo que no los analizaremos todos aquí.

La mayoría de los interesados ​​parecen ser residentes de Illinois y California, aunque hay algunos vinculados a los estados circundantes. Comparitech se puso en contacto con un pequeño número de interesados ​​utilizando los nombres y números de teléfono expuestos para verificar que la información de la base de datos fuera genuina.

Cada registro de la base de datos también contiene un número de identificación de ocho o nueve dígitos. A primera vista, algunos de estos parecen ser números de Seguro Social, pero después de una investigación más profunda ya no creemos que sea así. No obstante, todavía instamos a los residentes del condado de DuPage a que sean cautelosos y reporten cualquier incidente de intento de robo de identidad a la FTC .

No había información financiera ni contraseñas en la base de datos.

¿De dónde vinieron los datos?

No sabemos.

No hemos podido descubrir ninguna evidencia que indique a quién pertenecen los datos. Las organizaciones a las que nos acercamos como posibles propietarios negaron que los datos les pertenecieran. Nuestra única pista es que la zona horaria del servidor de alojamiento está configurada en Calcuta, India.

Las marcas de tiempo en la base de datos indican que la información comenzó a recopilarse ya en 2010. La información existente se actualizó y se agregó nueva información en mayo de 2021.

Lo más probable es que los datos estuvieran destinados a fines de marketing.

Una parte importante de los registros incluye un campo llamado “dominio de origen” que puede dar pistas sobre el origen de la información. El campo a menudo contenía dominios de sitios web donde los datos podrían haberse recopilado originalmente. Los sitios web a menudo eran estafas dudosas, si no directas: casas de alquiler con opción a compra, obsequios de cruceros, adelantos de dinero, sorteos en efectivo, etc. Por lo tanto, parece plausible que se trate de una base de datos de spam o marketing fraudulento.

Pero no sabemos la identidad de la persona u organización que agregó todos los datos y finalmente los expuso en la web.

Peligros de la información expuesta

La combinación de datos demográficos junto con la información de contacto es una mina de oro para los spammers y estafadores. Pueden utilizar la información para contactar a las víctimas con correos electrónicos, mensajes de texto y llamadas personalizados. Los residentes de Chicago, Los Ángeles y San Diego deben estar atentos a estafas y esquemas de phishing.

Nunca haga clic en un enlace de un correo electrónico no solicitado y siempre verifique la identidad del remitente antes de proporcionar cualquier información personal o financiera.

La información también amenaza la privacidad de las personas que no quieren que se publiquen sus nombres, información de contacto y direcciones: víctimas de abuso doméstico, inmigrantes indocumentados, jueces, abogados y ex delincuentes, por nombrar algunos.

Por qué informamos este incidente de datos

El equipo de investigación de ciberseguridad de Comparitech escanea periódicamente Internet en busca de bases de datos desprotegidas que contengan información personal. Cuando encontramos una base de datos expuesta, inmediatamente comenzamos a investigar quién es responsable de ella, quiénes podrían verse afectados, qué datos están expuestos y el posible impacto en los usuarios finales.

Después de identificar al responsable de los datos, le alertamos inmediatamente de acuerdo con nuestra política de divulgación responsable. Tan pronto como los datos estén protegidos y nuestra investigación esté completa, publicamos un artículo como este para crear conciencia y frenar el daño a los usuarios finales. En este caso, después de no poder identificar al propietario, alertamos al proveedor de hosting Amazon Web Services, que se puso en contacto con el propietario en nuestro nombre.

Informes de incidentes de datos anteriores

Comparitech ha encontrado e informado sobre varios incidentes de datos como este, que incluyen:

• Empresa de ciberseguridad expone 5 mil millones de registros de violaciones de datos anteriores
• El proveedor de software de British Gas expone 3,6 millones de direcciones de correo electrónico de clientes
• La agencia de visas de la India expone 6.500 solicitudes de visas de viajero en la web
• El servicio de pruebas de COVID-19 de Utah expone las identificaciones con fotografía y la información personal de 50.000 pacientes
• El servicio de marketing de concesionarios de automóviles Friendemic expone 2,7 millones de registros de consumidores
• La cadena de gimnasios Town Sports expone 600.000 registros de miembros y personal
• El servicio telefónico penitenciario Telmate expone mensajes e información personal de millones de reclusos
• El corredor de datos de las redes sociales expone casi 235 millones de perfiles eliminados
• UFO VPN expone millones de registros, incluidas contraseñas de usuario
• Se violaron 42 millones de números de teléfono e identificaciones de usuario de “Telegram” iraníes
• Se filtran detalles de casi 8 millones de compras en línea en el Reino Unido
• 250 millones de registros de atención al cliente de Microsoft quedaron expuestos en línea
• Más de 260 millones de credenciales de Facebook fueron publicadas en un foro de hackers
• Se filtraron casi 3 mil millones de direcciones de correo electrónico, muchas de ellas con sus correspondientes contraseñas
• Información detallada sobre 188 millones de personas se mantuvo en una base de datos no segura
• Se filtraron más de 2,5 millones de registros de clientes de CenturyLink