نشت و افشای اطلاعات شخصی ۱.۲ میلیارد نفر در اینترنت به‌دلیل سهل‌انگاری

براساس خبرهای منتشر شده، محققان امنیتی به‌تازگی یک پایگاه داده شامل ۴ ترابایت اطلاعات شخصی کاربر اینترنت را شناسایی کرده‌‌اند که به‌صورت آزاد در دسترس عموم قرار گرفته بود؛ پایگاه داده‌ای که اطلاعات شخصی ۱.۲ میلیارد نفر از کاربران اینترنت را شامل می‌شود. 

این پایگاه داده که برای اولین‌بار توسط باب دیاچنکو و وینی ترویا شناسایی شده، شامل اطلاعات جمع‌آوری شده از منابع شبکه اجتماعی از جمله فیسبوک و لینکدین است که داده‌هایی از جمله نام‌ و نام خانوادگی، آدرس ایمیل‌های شخصی و کاری، شماره تلفن‌ها، نشانی حساب‌های کاربری در توییتر و گیت‌هاب و دیگر اطلاعاتی که توسط شرکت‌های شخص ثالث در حوزه داده‌ها جمع‌آوری می‌شود است. شرکت‌هایی که عموما در بخش‌های تبلیغات و بازاریابی هدفمند فعالیت می‌کنند.

این اطلاعات، نمایی کامل از اشخاص به همراه سوابق کاری و تحصیلی آن‌ها ارائه می‌دهد. اما موضوع مهم اینجاست که همه اطلاعات بدون نیاز احراز هویت جهت دسترسی به پایگاه داده، قابل دسترسی بوده و تحت محافظت نبوده‌اند.

باب دیاچنکو درهمین رابطه اظهار کرده است که این پایگاه داده شامل اطلاعاتی جامع درباره مردم جهان است که از شرکت‌های جذب کننده مخاطب (lead-generation companies) جمع‌آوری شده است. مهاجمان سایبری در صورت دسترسی به اطلاعات ۱.۲ میلیارد نفر، به‌راحتی می‌توانند از آن‌ها برای انجام حملات فیشینگ، سرقت هویت، ارسال ایمیل‌های خطرناک تجاری و... استفاده کنند.

بنا بر گفته‌های دیاچنکو و ترویا، این داده‌ها از طرف دو شرکت جذب کننده مخاطب با نام‌های People Data Labs و OxyData به دست آمده‌اند که تخصصشان جمع‌آوری اطلاعات درباره مردم است.

این شرکت‌ها پس از مطلع شدن از موضوع اظهار کرده‌اند که با وجود اینکه اطلاعات متعلق به آن‌ها بوده است، اما سرور در معرض خطر قرار گرفته متعلق به آنان نبوده است.

محققان اظهار کردند که از شیوه جمع‌آوری اطلاعات در این پایگاه داده که اکنون بسته شده است، به‌صورت کامل مطمئن نیستند. ممکن است اطلاعات توسط یکی از کاربران مشترک سایت PDL و OxyData جمع‌آوری شده باشد یا اینکه توسط هکرها به‌سرقت رفته و در جای دیگری ذخیره شده باشد. تنها سرنخ موجود در دست، یک آدرس IP میزبانی شده در سرویس گوگل کلود است.

با وجود اینکه این حادثه یک نفوذ براساس حملات هکرها محسوب نمی‌شود، اما دو نگرانی متفاوت را به وجود می‌آورد؛ اول اینکه شرکت‌های جمع‌آوری کننده داده‌ها چه مسئولیتی در قبال مردمی که اطلاعات آن‌ها در معرض افشا قرار گرفته است دارند و دوم اینکه حتی اگر این اطلاعات از منابع عمومی جمع‌آوری شده‌اند، این نوع پالایش و غنی‌سازی اطلاعات، از منظر حریم شخصی به چه معنا خواهد بود؟

درباره اولین نگرانی، کلی وایت، مدیرعامل شرکت ریسک‌ریکون گفته است که اطلاعات به راحتی قابل بازسازی و تکرار هستند. همه مکان‌هایی که اطلاعات در آن‌ها مستقر هستند باید شناسایی و تحت محافظت قرار گیرند. به همین خاطر گردآورندگان اطلاعات مهم باید مشتریان خود را به خوبی بشناسند و از دلیل استفاده از اطلاعات آن‌ها به درستی آگاهی داشته باشند. در حال حاضر گردآورندگان، این اطلاعات را بدون توجه به منبع اصلی و جمع‌آوری کرده و با بی‌مسئولیتی آن‌ها را ذخیره یا با دیگران به اشتراک می‌گذارند. همچنین دیاچنکو اطلاع‌رسانی به قربانیان این حادثه را وظیفه شرکت‌های واسطه اطلاعاتی می‌داند.

دیاچنکو و ترویا درباره دومین نگرانی ایجاد شده معتقدند که از آن‌جایی که اطلاعات جمع‌آوری شده مربوط به هر فرد، شامل داده‌هایی از جمله درآمد و مخارج، عقاید سیاسی و دینی و حتی فعالیت‌های اجتماعی است، جمع‌آوری این اطلاعات از حساب‌های مردم پیامد‌های امنیتی بسیاری را به دنبال خواهد داشت.

موضوع نگران کننده این است که برخی از این اطلاعات از منابعی به دست می‌آیند که به‌طور قطع عمومی نیستند. برای مثال، میان بررسی انجام شده، یکی از شماره تلفن‌های نسبت داده شده به دیاچنکو، یک شماره تلفن ثابت بود که بنا بر گفته‌های وی هیچ‌گاه مورد استفاده قرار نگرفته و با کسی به اشتراک گذاشته نشده است، اما با این حال در میان اطلاعات مربوط به وب وجود داشته است.

- Data-Enriched Profiles on 1.2B People Exposed in Gigantic Leak