Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> ความปลอดภัยของเครือข่าย

10 ตัวอย่างจริงเมื่อการเก็บข้อมูลเปิดเผยข้อมูลส่วนบุคคลของคุณ

ความสัมพันธ์ที่ตรงกันข้ามระหว่างความเป็นส่วนตัวของผู้ใช้และการขายโฆษณาของบริษัทยังคงเป็นหัวข้อข่าว เนื่องจาก Facebook และบริษัทอื่นๆ ถูกนำมาพิจารณาถึงการใช้ข้อมูลส่วนบุคคลของพวกเขา

แต่นี่ไม่ใช่แนวโน้มล่าสุด เนื่องจากบริษัทต่างๆ ได้บุกรุกข้อมูลส่วนบุคคลหลายครั้งในช่วงหลายปีที่ผ่านมาเพื่อผลักดันการเติบโตและรายได้ นี่เป็นโอกาสสำคัญที่การรวบรวมข้อมูลทำให้ข้อมูลส่วนบุคคลของคุณตกอยู่ในความเสี่ยง

1. LocalBlox เปิดเผยบัญชีโซเชียล 48 ล้านบัญชี

LocalBlox เป็นผู้รวบรวมข้อมูลโซเชียลมีเดียที่เพิ่งสร้างหัวข้อข่าวด้วยเหตุผลที่ไม่ถูกต้องทั้งหมด หลังจาก UpGuard บริษัทรักษาความปลอดภัยทางไซเบอร์พบว่า LocalBlox ได้เปิดเผยข้อมูลบัญชี 48 ล้านบัญชี

"ทีม UpGuard Cyber ​​Risk สามารถยืนยันได้ว่าพื้นที่เก็บข้อมูลบนคลาวด์ที่มีข้อมูลที่เป็นของ LocalBlox ซึ่งเป็นบริการค้นหาข้อมูลส่วนบุคคลและธุรกิจ ถูกปล่อยให้เข้าถึงได้แบบสาธารณะ โดยเปิดเผยข้อมูลส่วนบุคคลโดยละเอียด 48 ล้านรายการเกี่ยวกับบุคคลหลายสิบล้านคน รวบรวมและ คัดลอกมาจากหลายแหล่ง" UpGuard ระบุไว้ในรายงาน

แต่ข้อมูลที่รั่วไหลไม่ได้มีเพียงรายละเอียดโซเชียลมีเดียเท่านั้น รวมถึงข้อมูลส่วนบุคคลอีกมากมาย ข้อมูลที่เปิดเผย ได้แก่ ชื่อจริง ที่อยู่ วันเกิด และอื่นๆ นอกจากนี้ ข้อมูลผู้ใช้ยังรวมรายละเอียดจากเครือข่ายต่างๆ เช่น LinkedIn, Facebook และ Twitter

ดังที่ UpGuard ชี้ให้เห็น อาชญากรใช้ข้อมูลนี้ในการหลอกลวงจำนวนมาก ตั้งแต่ความพยายามและการโจมตีฟิชชิ่งที่ออกแบบทางโซเชียล การจัดการทางสังคม และการโจรกรรมข้อมูลประจำตัว

2. ข้อมูลผู้มีสิทธิเลือกตั้งในสหรัฐอเมริกา 198 ล้านคนที่ถูกเปิดเผย

ในปี 2560 บริษัทข้อมูลที่ได้รับการว่าจ้างจากคณะกรรมการแห่งชาติของพรรครีพับลิกัน (RNC) ได้บุกรุกข้อมูลของผู้มีสิทธิเลือกตั้งที่ลงทะเบียนเกือบ 200 ล้านคนในอเมริกา

บริษัท Deep Root Analytics ได้จัดทำโปรไฟล์เกี่ยวกับผู้มีสิทธิเลือกตั้งชาวอเมริกันตามข้อมูลส่วนบุคคลของพวกเขา ในการรวบรวมข้อมูลนี้ บริษัทได้ทำงานร่วมกับบริษัทอื่นอีก 2 แห่ง ได้แก่ Targetpoint Consulting และ DataTrust

ส่งผลให้มีการรวบรวมข้อมูลจำนวนมาก ข้อมูลรั่วไหลรวมถึงชื่อที่อยู่และหมายเลขโทรศัพท์ ข้อมูลยังมีแบบจำลองที่ทำนายเชื้อชาติและศาสนาของบุคคลด้วย

การรั่วไหลส่งผลให้เกิดการฟ้องร้องดำเนินคดีแบบกลุ่มกับ Deep Root Analytics ท้ายที่สุด บริษัทได้เปิดเผยข้อมูลมากกว่า 1.1 เทราไบต์ของเซิร์ฟเวอร์คลาวด์ที่ไม่ปลอดภัย

3. นักส่งสแปมรั่วข้อมูลจากผู้ใช้ 1.4 พันล้านคน

แม้ว่าบริษัทรวบรวมข้อมูลจะถูกกฎหมาย แต่ผู้เก็บเกี่ยวข้อมูลบางรายอาจไม่ทำงานภายใต้ขอบเขตของกฎหมาย นี่เป็นกรณีของ City River Media (CRM) ซึ่งเป็นการดำเนินการสแปมที่ผิดกฎหมายครั้งใหญ่ ซึ่งทำให้ข้อมูลของผู้ใช้กว่าพันล้านคนรั่วไหลโดยไม่ได้ตั้งใจ

การรั่วไหลดังกล่าวทำให้บัญชีอีเมล 1.4 พันล้านบัญชีถูกบุกรุก รวมกับชื่อจริง ที่อยู่ IP ของผู้ใช้ และบางครั้งก็มีที่อยู่จริง

มันเกิดขึ้นได้อย่างไร? ตามที่นักวิจัยจาก MacKeeper Security Research Center, CSOOnline และ Spamhaus; การสำรองข้อมูล Rsync ที่กำหนดค่าไม่ถูกต้องทำให้ข้อมูลมีช่องโหว่

ข้อดีอย่างเดียวที่จะเกิดขึ้นคือ CRM ซึ่งเคยถูกวางตัวเป็นบริษัทการตลาดที่ถูกกฎหมาย ถูกเปิดเผยว่าเป็นการดำเนินการสแปมซึ่งส่งอีเมลอัตโนมัติกว่าพันล้านฉบับทุกวัน Chris Vickery ของ MacKeeper สามารถเข้าถึงบันทึก Hipchat ของ CRM, บันทึกการจดทะเบียนโดเมน, รายละเอียดการบัญชี, การวางแผนโครงสร้างพื้นฐาน, บันทึกการใช้งานจริง, สคริปต์ และความเกี่ยวข้องทางธุรกิจ จากนั้นเขาก็มอบรายละเอียดเหล่านี้ให้กับเจ้าหน้าที่

อย่างไรก็ตาม บริษัทใหม่ๆ เช่นนี้ปรากฏขึ้นทุกวัน ดังนั้นคุณควรใช้ความระมัดระวังในการปกป้องที่อยู่อีเมลของคุณจากนักส่งสแปม

4. Grindr แชร์สถานะ HIV ของผู้ใช้

ข้อมูลส่วนบุคคลที่รั่วไหลไม่ได้ทั้งหมดเป็นผลมาจากข้อบกพร่องด้านความปลอดภัยหรือการกำหนดค่าผิดพลาด ดังที่เราเห็นใน Facebook และ Cambridge Analytica บางครั้งบริการและแอพจะดึงข้อมูลจากผู้ใช้โซเชียลแล้วส่งต่อไปยังบุคคลที่สาม

การโอนข้อมูลโดย Aleksandr Kogan ไปยัง Cambridge Analytica ละเมิดข้อกำหนดในการให้บริการของ Facebook แต่ปริมาณข้อมูลที่เก็บเกี่ยวได้นั้นถูกรวบรวมไว้ภายในขอบเขตของนโยบายและ API ของ Facebook ในขณะนั้น

ในทำนองเดียวกัน เมื่อผู้ใช้พบว่าบุคคลที่สามเข้าถึงสถานะเอชไอวีของผู้ใช้ Grindr พวกเขายังพบว่าสิ่งนี้เป็นเรื่องปกติสำหรับเครือข่ายการหาคู่ของ LGBT ข้อมูลนี้ยังรวมถึงตำแหน่ง GPS, รหัสโทรศัพท์ และที่อยู่อีเมลของผู้ใช้ด้วย

ผู้ใช้ถือว่านี่เป็นการละเมิดความเป็นส่วนตัวอย่างร้ายแรง บริษัทได้แบ่งปันข้อมูลทางการแพทย์ที่ละเอียดอ่อนและมักจะเป็นความลับกับบริษัทอื่น 2 แห่ง:Apptimize และ Localytics

Grindr รับรองกับผู้ใช้ว่าพวกเขาไม่ได้ขายหรือรั่วไหลข้อมูล แต่พวกเขาจะแบ่งปันข้อมูลเพื่อช่วยในการเพิ่มประสิทธิภาพแอป อย่างไรก็ตาม บริษัทได้ประกาศในภายหลังว่าจะไม่เปิดเผยสถานะเอชไอวีของผู้ใช้กับบุคคลที่สามอีกต่อไป

ผู้เชี่ยวชาญด้านความปลอดภัยชี้ว่าการแบ่งปันข้อมูลที่ละเอียดอ่อนดังกล่าวกับบุคคลที่สามจะเพิ่มโอกาสที่การรั่วไหลหรือการละเมิด โชคดีที่มีเครื่องมือออนไลน์ที่จะช่วยคุณตรวจสอบว่าบัญชีออนไลน์ของคุณถูกแฮ็กหรือถูกบุกรุก

5. บันทึกที่รั่วไหลเกินจำนวนประชากรของประเทศ

ข้อมูลรั่วไหลที่ใหญ่ที่สุดของแอฟริกาใต้ครอบคลุมถึงจำนวนบันทึกส่วนบุคคลที่รั่วไหลเกินจำนวนประชากรทั้งหมดของประเทศ การรั่วไหลไม่เพียงแต่รวมถึงข้อมูลส่วนบุคคลของคนส่วนใหญ่ในประเทศ แต่ยังรวมถึงผู้เสียชีวิตด้วย ข้อมูลยังรวมถึงหมายเลขประจำตัว (ID) ของผู้เยาว์กว่า 12 ล้านคน

ข้อมูลทั้งหมดเปิดเผยหมายเลขประจำตัวประชาชน 60 ล้านหมายเลข พร้อมด้วยข้อมูลส่วนบุคคล เช่น รายละเอียดการติดต่อ ชื่อนามสกุล และอื่นๆ การรั่วไหลนั้นรุนแรงเป็นพิเศษ เนื่องจากสามารถใช้หมายเลขประจำตัวประชาชนของแอฟริกาใต้เพื่อรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับพวกเขา เช่น วันเกิด เพศ และอายุ อาชญากรมักใช้ตัวเลขเหล่านี้เพื่อขโมยข้อมูลประจำตัวหรือกระทำการฉ้อโกง

แล้วข้อมูลนี้ถูกเปิดเผยได้อย่างไร? พบการสำรองฐานข้อมูลโดยใช้ชื่อ masterdeeds.sql บนเซิร์ฟเวอร์สาธารณะที่ไม่ปลอดภัย ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และผู้ก่อตั้ง HaveIBeenPwned.com ทรอย ฮันท์ ได้รับคำแนะนำเกี่ยวกับข้อมูลดังกล่าว ซึ่งถูกเปิดเผยเป็นเวลาอย่างน้อยเจ็ดเดือน

บริษัทที่ชื่อ Dracore ได้รวบรวมข้อมูลและสร้างฐานข้อมูล แต่ลูกค้ารายหนึ่งของ Jigsaw Holdings ได้เปิดเผยข้อมูลกับเซิร์ฟเวอร์ที่ไม่ปลอดภัย

6. ไฟล์ของบริษัทข้อมูลที่ถูกแชร์บน Twitter

Modern Business Solutions ซึ่งเป็นบริษัทจัดการข้อมูลในสหรัฐฯ พบว่าตัวเองอยู่ผิดด้านของความคิดเห็นของประชาชนในปี 2016 การรักษาความปลอดภัยที่หละหลวมส่งผลให้มีการเปิดเผยข้อมูลผู้บริโภค 58 ล้านรายการ

แฮ็กเกอร์สามารถเข้าถึงและแบ่งปันข้อมูลของผู้คนนับล้านได้ ขอบคุณฐานข้อมูล MongoDB ที่ไม่ปลอดภัย แฮ็กเกอร์ดาวน์โหลดฐานข้อมูล อัปโหลดไปยังเว็บไซต์สาธารณะ แล้วแชร์ลิงก์บน Twitter ฐานข้อมูล MongoDB ที่กำหนดค่าไม่ถูกต้องเป็นหนึ่งในหลาย ๆ วิธีที่แฮกเกอร์ขโมยข้อมูลจากบุคคลที่ไม่สงสัย

ในกรณีนี้ ข้อมูลที่เปิดเผย ได้แก่ ชื่อ วันเกิด อีเมลและที่อยู่ไปรษณีย์ ตำแหน่งงาน หมายเลขโทรศัพท์ ข้อมูลยานพาหนะ และที่อยู่ IP

7. ข้อมูลประจำตัวนับล้านที่ถูกขโมยจากนายหน้าข้อมูล

ความกังวลเรื่องความเป็นส่วนตัวที่เกิดจากบริษัทรวบรวมข้อมูลมีมาระยะหนึ่งแล้ว แม้กระทั่งในปี 2013 อันตรายของการรวบรวมข้อมูลก็มาถึงเมื่อพบว่าแฮ็กเกอร์เข้าถึงเซิร์ฟเวอร์ของโบรกเกอร์ข้อมูลรายใหญ่หลายแห่ง การเข้าถึงนี้ทำให้พวกเขาสามารถขโมยข้อมูลของชาวอเมริกันหลายล้านคนได้

แฮกเกอร์เข้าถึงข้อมูลนี้ส่วนใหญ่ผ่านเซิร์ฟเวอร์ที่กำหนดค่าผิดพลาด ข้อบกพร่องด้านความปลอดภัย และฐานข้อมูลที่ไม่ปลอดภัย และอัปโหลดไปยังไซต์ที่ชื่อ SSNDOB SSNDOB เองก็เป็นผู้รวบรวมข้อมูลที่ขายข้อมูลที่ขโมยมา

ข้อมูลที่ถูกขโมยนั้นรวมถึงหมายเลขประกันสังคม บันทึกเครดิต การตรวจสอบประวัติ วันเกิด ที่อยู่ และข้อมูลส่วนบุคคลอื่นๆ เมื่อวัยรุ่น Hacktivist ละเมิด SSNDOB พวกเขาค้นพบว่าบันทึกนั้นกว้างขวางเพียงใด แม้แต่ที่อยู่และข้อมูลส่วนบุคคลของคนดังเช่น Kanye West, Jay Z และ Beyonce; เช่นเดียวกับบุคคลสำคัญ เช่น สุภาพสตรีหมายเลขหนึ่ง Michelle Obama ในขณะนั้นที่เข้าถึงได้

บ็อตเน็ตของ SSNDOB เข้าถึงเซิร์ฟเวอร์ของโบรกเกอร์ข้อมูลรายใหญ่ เช่น LexisNexis Inc, Dun &Bradstreet และ Kroll Background America Inc. ในที่สุด FBI ก็เริ่มสอบสวนเรื่องนี้

8. Alteryx รั่วข้อมูลครัวเรือน 123 ล้านครัวเรือนในสหรัฐอเมริกา

ในปี 2560 UpGuard พบว่าบริษัทวิเคราะห์ข้อมูล Alteryx ได้เปิดเผยข้อมูลของครัวเรือนอเมริกัน 123 ล้านครัวเรือนผ่านที่เก็บข้อมูลที่ไม่มีหลักประกัน

ข้อมูลที่เปิดเผยต่อสาธารณะมีความละเอียดอ่อนเป็นพิเศษ เนื่องจากหนึ่งในพันธมิตรของ Alteryx คือ Experian หน่วยงานรายงานสินเชื่อผู้บริโภค พื้นที่เก็บข้อมูลประกอบด้วยที่อยู่บ้าน รายละเอียดการติดต่อ รายละเอียดการจำนอง ประวัติทางการเงิน และประวัติการซื้อ ใครก็ตามที่มีบัญชี Amazon Web Services จะสามารถเข้าถึงข้อมูลนี้ได้

UpGuard อธิบายว่าข้อมูลดังกล่าวเป็น "การล่วงละเมิดอย่างน่าทึ่งในชีวิตของผู้บริโภคชาวอเมริกัน" โชคดีที่ข้อมูลไม่สามารถเข้าถึงได้แบบสาธารณะอีกต่อไป แต่เช่นเดียวกับการรั่วไหลส่วนใหญ่ จึงไม่มั่นใจว่ามีคนจำนวนเท่าใดที่สะดุดข้ามและดาวน์โหลดข้อมูลที่ละเอียดอ่อน

การรั่วไหลยังเตือนผู้บริโภคถึงจำนวนที่บริษัทรวบรวมข้อมูลส่วนบุคคล แม้แต่การท่องอินเทอร์เน็ตทั่วไปก็ทำให้เว็บไซต์รวบรวมข้อมูลส่วนบุคคลเกี่ยวกับตัวคุณได้

9. ผลการทดสอบ Facebook อื่นในข้อมูลผู้ใช้ที่รั่วไหล

ผู้ใช้ Facebook ยังคงสั่นคลอนจากเรื่องอื้อฉาว Cambridge Analytica แต่ดูเหมือนว่า Cambridge Analytica ไม่ได้อยู่คนเดียวในการใช้แบบทดสอบ Facebook สำหรับการรวบรวมข้อมูล

ตามที่นักวิทยาศาสตร์ใหม่ นักวิจัยจากมหาวิทยาลัยเคมบริดจ์ได้สร้างแบบทดสอบที่เรียกว่า myPersonality แบบทดสอบรวบรวมข้อมูลเกี่ยวกับผู้เข้าร่วม ซึ่งนักวิจัยได้อัปโหลดไปยังฐานข้อมูลออนไลน์ นักวิจัยหลายร้อยคนจากสถาบันอื่นๆ สามารถเข้าถึงข้อมูลนี้เพื่อวัตถุประสงค์ในการวิจัย

อย่างไรก็ตาม มาตรการรักษาความปลอดภัยไม่เพียงพอเปิดเผยข้อมูลนี้เป็นเวลาสี่ปี แม้ว่าจะมีเพียงการเข้าสู่ระบบของผู้ทำงานร่วมกันที่ลงทะเบียนแล้วเท่านั้นที่สามารถเข้าถึงข้อมูลได้ แต่ชุดข้อมูลรับรองที่เปิดเผยซึ่งใช้งานได้ทำให้ความปลอดภัยลดลง

"ในช่วงสี่ปีที่ผ่านมา มีชื่อผู้ใช้และรหัสผ่านที่ใช้งานได้ทางออนไลน์ ซึ่งหาได้จากการค้นหาเว็บเพียงครั้งเดียว ใครก็ตามที่ต้องการเข้าถึงชุดข้อมูลสามารถพบคีย์เพื่อดาวน์โหลดภายในเวลาไม่ถึงนาที" ใหม่ นักวิทยาศาสตร์กล่าวว่า

ข้อมูลดังกล่าวรวมถึงข้อมูลส่วนบุคคลของผู้ใช้ Facebook ประมาณ 3 ล้านคนและผลการทดสอบทางจิตวิทยา

10. ฐานข้อมูลเปิดเผยพนักงาน 33 ล้านคน

ในปี 2560 สาธารณชนพบว่าฐานข้อมูล Dun &Bradstreet เกี่ยวกับรัฐบาลสหรัฐฯ และพนักงานบริษัทรั่วไหล ข้อมูลนี้มีการเปิดเผยมากกว่า 33 ล้านรายการ ซึ่งรวมถึงรายละเอียดต่างๆ เช่น ชื่อ ตำแหน่งงานและหน้าที่ เงินเดือน รายละเอียดการติดต่อ และที่อยู่อีเมล

หาก Dun &Bradstreet ฟังดูคุ้นๆ นั่นเป็นเพราะฐานข้อมูลของพวกเขารวมอยู่ในคอลเล็กชันของ SSNDOB (ที่กล่าวถึงก่อนหน้านี้) บริษัท ซึ่งรวบรวมข้อมูลพนักงานและขายบันทึกให้กับนักการตลาด ปฏิเสธความรับผิดชอบในการรั่วไหล พวกเขาสร้างฐานข้อมูล แต่แหล่งที่มาที่เป็นไปได้ของการรั่วไหลคือหนึ่งในลูกค้าหลายพันรายของพวกเขา

ทรอย ฮันท์ ค้นพบการรั่วไหลหลังจากที่แหล่งข่าวส่งฐานข้อมูลให้เขา Hunt ตั้งข้อสังเกตว่าบันทึกของพนักงานกระทรวงกลาโหมประกอบด้วยข้อมูลจำนวนมาก สิ่งนี้ทำให้พวกเขามีความเสี่ยงเป็นพิเศษ เนื่องจากมีการระบุตำแหน่งงาน เช่น นักวิเคราะห์ข่าวกรอง วิศวกรเคมี ทหาร และจ่าหมวดในข้อมูล ทำให้มีประโยชน์ต่อหน่วยงานต่างประเทศที่อาจต้องการแทรกซึมหรือโจมตีบทบาทของรัฐบาลที่เฉพาะเจาะจง

"เราสูญเสียการควบคุมข้อมูลส่วนบุคคลของเรา และอย่างที่ [Tim] Berners-Lee กล่าวเมื่อไม่กี่วันก่อน เรามักจะไม่มีทางให้บริษัททราบถึงข้อมูลที่เราไม่ต้องการเปิดเผย" Hunt กล่าวใน รายงานของเขาเกี่ยวกับการรั่วไหลของ Dun &Bradstreet

คนส่วนใหญ่ที่ได้รับผลกระทบจากการรั่วไหลมักจะไม่รู้ว่าบริษัทต่างๆ รวบรวมข้อมูลและขายออกไปในรายการที่รวบรวมมาอย่างดี

บริษัทต่างๆ รู้จักคุณมากกว่าที่คุณคิด

ในหลายเหตุการณ์เหล่านี้ คุณไม่สามารถตำหนิผู้ที่ตกเป็นเหยื่อของข้อมูลรั่วไหลได้เนื่องจากข้อมูลของพวกเขาไปถึงสาธารณสมบัติ แต่บริษัทต่างๆ ได้รวบรวมข้อมูลนี้จากบริการและบันทึกที่หลากหลาย ผู้บริโภคมักไม่ทราบว่าบริษัทต่างๆ แชร์ข้อมูลนี้กับบุคคลที่สาม

การตรวจสอบนโยบายความเป็นส่วนตัวของบริการที่คุณใช้จึงเป็นเรื่องสำคัญ คุณควรติดตามการรั่วไหลและการรั่วไหลที่อาจส่งผลกระทบต่อคุณ

ท้ายที่สุด บริษัทต่างๆ ก็รู้จักคุณมากขึ้นตามที่คุณคาดหวัง แต่คุณสามารถมีบทบาทในการปกป้องข้อมูลของคุณได้มากขึ้น อย่าลืมอ่านคำแนะนำในการปกป้องความเป็นส่วนตัวของคุณทางออนไลน์