Data leak

Violato il Cloud di Google: i dati di 1,2 miliardi di persone trovati su un server non protetto

di |

Un database con le informazioni personali di 1,2 miliardi persone, fra cui email, numeri di telefono, account social, trovato non protetto su un server in rete.

Un database conservato sul Cloud di Google contenete i dati esposti senza protezione di 1,2 miliardi di persone sono stati rinvenuti in quello che già viene definito come un colossale data leak. Fra i dati esposti in rete c’erano account social, indirizzi mail e numeri di telefono associati ai nominati. Il data breach è stato scoperto il mese scorso dall’FBI e ad oggi non è chiaro come la gran massa di dati, pari a 4 terabyte, sia finita online. Numeri di telefono, indirizzi mail, profili Facebook, Twitter, LinkedIn oltre a nome e cognome. Il server incriminato è stato chiuso e per ora nemmeno l’FBI commenta l’accaduto.

Mega leak scoperto da un esperto negli Usa

Il mega leak, scoperto da un ricercatore americano specializzato in security, si chiama Vinny Troia ed è il Ceo della società  Night Lion Security con sede a St. Louis, è stato subito denunciato all’FBI e ne ha dato notizia per la prima volta a ottobre da Wired e ripreso poi qualche giorno fa dall’agenzia Bloomberg, secondo cui la maggior parte dei dati è stata raccolta su un server Google Cloud da una società chiamata People Data Labs, che gestisce i dati di un miliardo e mezzo di persone di cui 260 milioni negli Usa, ma che nega che sia il suo server ad aver subito il leak.

Tutti i numeri del leak

Secondo quanto riferito da Appleinsider.com, i dati esposti rinvenuti sul server non contenevano dettagli sensibili, come estremi di pagamento o password, ma diverse informazioni di base tratte possibilmente dai social media. Fra questi dati il nome, il numero di cellulare, i link ai profili social. Complessivamente 50 milioni di numeri di cellulare unici sono stati rinvenuti e 622 milioni di indirizzi mail.   

Ad ogni buon conto, secondo il sito specializzato Data Viper, la società People Data Labs gestisce:

  • I dati di più di 1,5 miliardi di persone, di cui 260 milioni negli Usa.
  • Più di un miliardo di indirizzi email. L’email di lavoro di più del 70% dei decision maker negli Usa, UK e in Canada.
  • Più di 420 milioni di url di Linkedin.
  • Più di 1 miliardo di url e personal id di Facebook.
  • Più di 400 milioni di numeri di telefono. Più di 200 milioni di numeri di cellulare negli Usa.

I dati non protetti non si trovavano su un server della People Data Labs, ma piuttosto su un server di Google Cloud, ha dichiarato Troia. Il server è stato chiuso dopo il ritrovamento.

No comment di Google alla domanda su chi aveva affittato il server.

“E’ la prima volta che vedo email, nomi e numeri e profili connessi a Facebook, Twitter, LinkedIn e Github tutti in un unico posto”, ha detto Troia, che si autodefinisce come un cacciatore di cybercrime. “Non ci sono password connesse a questi dati, ma avere a disposizione grandi set di password non è più così eccitante”.

Dati provenienti da diverse fonti?

Sean Thorne, cofondatore e Ceo di People Data Labs, ha detto che gran parte dei dati, ma non tutti, provengono dalla sua società e sospetta che siano stati aggregati da un’altra azienda che li avrebbe raggruppati da diverse fonti.

“Noi prendiamo l’impegno che i nostri dati raccolti all’ingrosso (bulk data) non siano esposti”, scrive sul suo sito People data Labs, precisando che il tema della pirvacy è alquanto sentito in azienda e che diversi professionisti si occupano di scoprire e proteggere data set di dati vulnerabili online prima che finiscano sul mercato nero.

Troia, che ha fatto la scoperta del mega leak a ottobre durante un controllo di routine, ha subito denunciato il ritrovamento di 4 terabyte di dati incustoditi e la loro location all’FBI. Il server incriminato è stato chiuso e per ora nemmeno l’FBI commenta l’accaduto.

Troia ha poi aggiunto di non avere idea di chi abbia lasciato i dati sul server, chiamando in causa non meglio precisati hacker malintenzionati o possibilmente i clienti stessi di People Data Labs. Di fatto, particolarmente preziosi nelle mani di criminali hacker o rivenditori e fabbricanti di fake news sarebbero gli account dei social media.