افشای اطلاعات میلیونها کارمند در امریکا
به گزارش واحد هک و نفوذ سایبربان؛ پایگاه داده افشا شده، از طریق منبعی که در گذشته کاملا قابل اعتماد نشان داده، به دست محقق امنیتی، تروی هانت (Troy Hunt) رسیده است اما مشخص نیست آن منبع از کجا به این اطلاعات دست یافته است.
چه اطلاعاتی لو رفته است؟
نام و نام خانوادگی، عنوان شغلی، شماره تلفن و آدرس ایمیل، نام کارفرما و اطلاعاتی درباره شرکت یا سازمان مربوط (آدرس، تلفن، وبگاه، تعداد کارکنان، سرمایه، صنعت، شرکت مادر و اطلاعات مشابه). این پایگاه داده خاص، امریکامحور بوده و شامل اطلاعاتی درباره کارکنان وزارت دفاع، خدمات پستی ایتی اند تی (AT&T)، والمارت، سیتیگروپ، دانشگاه ایالتی اوهایو، فدکس، بوئینگ و بسیاری از سازمانهای دیگر میشود.
مالک دادههای لو رفته کیست؟
هر ورودی داده با یک «شناسه تماس نتپراسپکس» علامتگذاری شده است که به هانت این امکان را میداد که مالک دادههای لو رفته را بهدقت شناسایی کند. نتپراسپکس از جمله خدمات شرکت خدماتی دان اند برداستریت (Dun & Bradstreet) محسوب میشود. این شرکت، دادههای تجاری درباره فروش و بازاریابی بنگاه به بنگاه (B2B)، مدیریت زنجیره تامین، تطابق هویت اجتماعی و غیره در اختیار شرکتها قرار میدهد.
بعد از تماس با شرکت دان اند برداستریت و نشان دادن دادههای به دست آمده، این شرکت با قاطعیت اعلام کرد که اطلاعات مذکور را آنان جمعآوری کردهاند. آنها این دادهها را به هزاران مشتری میفروشند و برخی از مشتریان نیز آن را به دیگر مشتریان عرضه میکنند. هانت اظهار داشت: «درباره این موضوع که مشخصا منشا این دادهها کجاست، اعتقاد دان اند برداستریت این است که اطلاعات بهطور مستقیم از یکی از سامانههای آنها برداشته شده است و با در نظر گرفتن هزاران مشتری خریدار این اطلاعات، نمیتوان بهطور دقیق گفت که چه کسی با گم کردن آنها موجبات افشای آن را فراهم کرده است.»
دادهها چگونه در معرض افشا قرار گرفت؟
بیشترین احتمال این است که برخی از خریداران اطلاعات، در اثر عدم محافظت از پایگاه داده، سهوا آن را در معرض افشا قرار دادهاند و یکی آن را دانلود کرده و در سایتهای زیرزمینی به معرض فروش گذاشته است. اگرچه دادههای لو رفته، محرمانه نیستند و هر کسی که به جستجوی اینترنتی مسلط باشد میتواند آنها را به دست آورد، در اختیار داشتن تمام این دادهها در کنار هم برای تسهیل امور بازاریابی هدفمند، کمک خوبی است. ضمنا این نوع اطلاعات ممکن است به دست مجرمان و کلاهبرداران نیز برسد و با سوءاستفاده از آن، هویت کارکنان جعل شود و با فریب دیگران، اطلاعات حساستری (مانند برگههای گزارش سالانه هزینه و درآمد شرکت) به دست آید یا هویت مدیرعامل شرکت جعل شود و یا حتی اتفاقات بدتری رخ دهد.
هانت با معرفی سرویس آیا من در معرض خطر هستم؟ امکان جستجو در دادههای لو رفته را فراهم آورده است اما حتی اگر نام خود را در آنجا مشاهده کردید، درباره افشای صورت گرفته کاری از دست شما ساخته نیست.
به قول هانت «واقعیت این است که امروزه اطلاعات شخصی ما در همه جا پخش میشود بدون آن که قادر باشیم کنترلی بر آن داشته باشیم.»
