La fuga de información más grande hasta la fecha contiene nombres, direcciones de correo, números de teléfono e información sobre los perfiles de LinkedIn y Facebook de más de 1.200 millones de personas. Esta información parece tener origen en dos compañías diferentes dedicadas al enriquecimiento de datos.
El enriquecimiento de datos consiste en ampliar o enriquecer bases de datos con otras fuentes externas. Por ejemplo, se podría querer ampliar una base de datos de correos electrónicos con otros campos con información geográfica o financiera.
Cuando una empresa decide contratar un servicio de este tipo, está cediendo su información a la compañía enriquecedora. Así, los datos sobre cada individuo se van engordando y de forma inevitable se va perdiendo control sobre toda la información.
El fallo de seguridad se encontró en una instancia de Elasticsearch accesible a través de internet sin ningún tipo de autenticación.
URL servidor Elasticsearch: http://35.199.58.125:9200
La dirección revelaba información sobre los diferentes índices contenidos en el servidor:
La mayor parte de la información comprendía 4 índices con registros de alrededor de mil millones de personas cada uno. Estos índices estaban etiquetados con las cadenas «PDL» y «OXY», siglas que coinciden con dos empresas dedicadas al enriquecimiento de datos.
Según el análisis llevado a cabo por la empresa Data Viper, la información de los índices etiquetados con PDL, podría tener su origen en la compañía People Data Labs. Tras analizar los 3 mil millones de registros y eliminar la información duplicada, se pudieron obtener perfiles sobre aproximadamente 1.200 millones de personas y 650 direcciones de correo únicas.
Data Viper notificó de forma responsable a People Data Labs, quienes negaron que el servidor les perteneciera. Sin embargo la información sí provenía de ellos, como se pudo comprobar cruzando los datos obtenidos de la brecha, con los que proporciona la API de People Data Labs.
La investigación sobre la otra etiqueta presente en los índices llevó al equipo de Data Viper a la empresa OxyData.io, dedicada también al enriquecimiento de datos. Tras ser notificados confirmaron que el servidor expuesto tampoco les pertenecía.
¿Quién es entonces el responsable de esta fuga de información?
La información obtenida de la máquina expuesta no ha permitido señalar al dueño. Se desconoce si es un cliente común de ambas empresas o si esta información ha sido robada. Continúan las investigaciones para aclarar quién o quienes son los responsables de esta fuga de información.