Una nueva fuga de datos con un origen desconocido.

Hoy en día sabemos que nuestra información en redes sociales es importante por ser nuestra puerta de acceso a un mundo de conexiones interpersonales con nuestros amigos y seres queridos, aunque también sabemos que puede ser utilizada por hackers para tratar de suplantar nuestra identidad o para aplicarnos ingeniera social con distintos fines. ¿Pero qué mejor para un atacante que saber cuáles son las redes sociales que utilizamos, y conocer nuestros números telefónicos?

El martes 19 de noviembre pasado, un investigador llamado Vinni Troia advirtió sobre una de las fugas de información más grandes encontradas en los últimos años, con al menos 1.2 billones de registros, cuyos detalles dará a conocer próximamente.

Al parecer, desde octubre Vinni Troia logró obtener el acceso a una base de datos expuesta en internet haciendo uso de técnicas de búsqueda en IoT (Internet of Things), al encontrar la dirección IP en uno de los servidores de Google.

Vinni Troia observó que los datos expuestos estaban organizados de tal manera que se podrían conocer las redes sociales y correos electrónicos asociados a millones de números telefónicos tanto de casa como móviles. Es importante destacar que en esta filtración de datos no se encontraban números de tarjetas de crédito o contraseñas, y que el peso total de estos datos era de 4 Terabytes.

Vinni Troia estuvo tratando de averiguar quién podría ser el dueño de esta información. En primer lugar pensó que podría tratarse de una organización llamada “People Data Labs” (PDL) por mencionar en su sitio principal que cuenta con más de 1.5 billones de registros de personas a la venta; sin embargo Sean Thorne, cofundador de PDL, aclaró que no eran datos de su propiedad debido a las restricciones con las que contaban; y aclaró que una vez que los clientes contratan sus servicios, la información es puesta en sus servidores por lo que la seguridad de esa información ya es de su responsabilidad, aunque tienen evaluaciones de seguridad gratuitas para quienes han adquirido los servicios.

Otra de las etiquetas con las que contaba la información expuesta era OXY, por lo que Vinni Troia supuso que podría tratarse de una organización llamada Oxydata, ya que también declaraban tener más de 4 Terabytes de información. De igual manera, su director Martynas Simanauskas comunicó que esa información no era de su propiedad, ya que no utilizaban la etiqueta mencionada.

Hasta el momento no se tiene claro de dónde provinieron esos datos y se cree que podría tratarse de una colección de información expuesta desde diferentes fuentes, y que fue replicada, relacionada y expuesta de manera inconsciente.

Debido a lo anterior, debemos estar preparados para recibir nuevos ataques de spear-phishing, suplantación de identidad y fraude, ya que algún atacante podría encontrar la manera de explotar dicha información para obtener distintos beneficios.

Fuentes:
https://www.wired.com/story/billion-records-exposed-online/
https://www.darkreading.com/application-security/12b-records-exposed-in-massive-server-leak/d/d-id/1336439
https://threatpost.com/data-enriched-profiles-1-2b-leak/150560/
https://www.techradar.com/news/google-cloud-server-left-a-billion-peoples-data-unsecured