Исследователь безопасности Боб Дьяченко (Bob Diachenko) обнаружил, что 9 376 173 подробных записей о людях, собранных агрегатором Adapt.io, хранятся в общедоступной и незащищённой базе данных MongoDB. Как подробно рассказал Дьяченко, открытая база данных на 123 Гбайт напрямую доступна любому, у кого есть идентификатор MongoDB, подключение к Интернету и знания, необходимые для поиска открытого сервера.
В записях базы данных содержится широкий спектр информации, включая полное имя человека, название компании, её описание, размер дохода, номера телефонов, домен компании, а также общее количество контактов с электронными адресами к каждому. «Хотя сами данные могут быть не особенно чувствительными, доступность их в Интернете без какой-либо идентификации весьма неожиданна, — отметил специалист. — Законность парсинга сайтов в качестве метода сбора данных всё ещё обсуждается, но открытый доступ к такому массиву конфиденциальной информации определённо противоречит правовым нормам».
Кроме того, компании, которые нарушают принятое в ЕС законодательство GDPR (Общие правила защиты данных), подлежат штрафам в размере до €20 млн или до 4 % от их ежегодного мирового оборота. Хотя это должно быть достаточным стимулом даже для компаний с доходами в несколько миллиардов, все ещё немало организаций, которые не воспринимают защиту данных так серьёзно, как должны.
Анализ обнаруженных господином Дьяченко данных позволил выявить владельца — службу-агрегатор Adapt.io, который, согласно описанию с его сайта, обеспечивает доступ к миллионам деловых контактов. «Бесплатные инструменты Adapt помогают вам обогащать деловые профили на любом веб-сайте с помощью электронной почты, телефона и ряда контактов», — отмечает сервис.
Несмотря на то, что специалист по безопасности связался по крайней мере с одним представителем Adapt.io в рамках ответственной процедуры раскрытия информации, служба агрегации данных не предоставила никакого ответа или объяснения причин, по которым 123-Гбайт база MongoDB, содержащая 9,3 млн записей, является общедоступной.
Кстати, 5 сентября Боб Дьяченко уже обнаруживал другую незащищённую базу данных размером 200 Гбайт, принадлежащую компании по восстановлению данных и резервным копиям Veeam, которая опубликовала 445 миллионов записей, связанных с автоматической маркетинговой кампанией Marketo.
Seems like @Adapt_io-originated database surfaced online, with no login/password needed to view the data (comprehensive business directory with contact details = emails on pretty much each and every decision maker in the world). @troyhunt — worth loading into @haveibeenpwned ? pic.twitter.com/q03uSz4GTU
— Bob Diachenko (@MayhemDayOne) 6 ноября 2018 г.