Дослідник безпеки Боб Дяченко (Bob Diachenko) виявив, що 9 376 173 докладних записів про людей, зібраних агрегатором Adapt.io, зберігаються в загальнодоступній і незахищеній базі даних MongoDB. Як детально розповів Дяченко, відкрита база даних на 123 Гбайт безпосередньо доступна будь-кому, у кого є ідентифікатор MongoDB, підключення до Інтернету і знання, необхідні для пошуку відкритого сервера.
У записах бази даних міститься широкий спектр інформації, включаючи повне ім'я людини, назву компанії, її опис, розмір доходу, номери телефонів, домен компанії, а також загальна кількість контактів з електронними адресами до кожного. "Хоча самі дані можуть бути не особливо чутливими, доступність їх в Інтернеті без будь-якої ідентифікації вельми несподівана, - зазначив фахівець. - Законність парсингу сайтів як методу збору даних все ще обговорюється, але відкритий доступ до такого масиву конфіденційної інформації певно суперечить правовим нормам ".
Крім того, компанії, які порушують прийняте в ЄС законодавство GDPR (Загальні правила захисту даних), підлягають штрафам у розмірі до 20 млн або до 4% від їх щорічного світового обороту. Хоча це має бути достатнім стимулом навіть для компаній з доходами в кілька мільярдів, все ще чимало організацій, які не сприймають захист даних так серйозно, як повинні.
Аналіз виявлених паном Дяченком даних дозволив виявити власника - службу-агрегатор Adapt.io, який, згідно з описом з його сайту, забезпечує доступ до мільйонів ділових контактів. «Безкоштовні інструменти Adapt допомагають вам збагачувати ділові профілі на будь-якому веб-сайті за допомогою електронної пошти, телефону та низки контактів», - зазначає сервіс.
Незважаючи на те, що фахівець з безпеки зв'язався принаймні з одним представником Adapt.io в рамках відповідальної процедури розкриття інформації, служба агрегації даних не надала жодної відповіді або пояснення причин, з яких 123-Гбайт база MongoDB, що містить 9,3 млн записів, є загальнодоступною.
До речі, 5 вересня Боб Дяченко вже виявляв іншу незахищену базу даних розміром 200 Гбайт, що належить компанії з відновлення даних і резервних копій Veeam, яка опублікувала 445 мільйонів записів, пов'язаних з автоматичною маркетинговою кампанією Marketo.
Seems like @Adapt_io-originated database surfaced online, with no login/password needed to view the data (comprehensive business directory with contact details = emails on pretty much each and every decision maker in the world). @troyhunt - worth loading into @haveibeenpwned ? pic.twitter.com/q03uSz4GTU
- Bob Diachenko (@ MayhemDayOne) 6 листопада 2018 р.