Ogromny zbiór danych osobowych dostępny był publicznie: 4 TB oraz 1.2 miliarda rekordów. Imiona, nazwiska, maile, telefony – ale bez haseł ~PESELi czy innych mocno wrażliwych danych

O wycieku poinformował najpierw Vinny Troya:

I have a major #Databreach announcement tomorrow – 1.2 BILLION people exposed from a single organization. More details soon. @lilyhnewman @troyhunt @MayhemDayOne @DataViperIO

— Vinny Troia (@vinnytroia) November 19, 2019

O całej akcji donosi również Wired. W bazie nie ma np. haseł i wygląda ona bardziej jak pozyskana w wyniku scrapingu serwisów typu LinkedIN czy Facebook. Być może mamy też połączonych kilka baz – Wired wspomina o czterech różnych źródłach, które zostały wykorzystane do agregacji danych:

It does, though, contain profiles of hundreds of millions of people that include home and cell phone numbers, associated social media profiles like Facebook, Twitter, LinkedIn, and Github, work histories seemingly scraped from LinkedIn, almost 50 million unique phone numbers, and 622 million unique email addresses.

(…)

The data Troia discovered seems to be four datasets cobbled together.

Jak udało się dostać do bazy? Lokalizacja adresu IP z wykorzystaniem Shodana, a następnie odkrycie tam całego zbioru dostępnego bez żadnego zabezpieczenia. W tym roku donosiliśmy o podobnej historii – wtedy m.in. wyciekło przeszło 700 milionów adresów e-mail.

–ms