En octubre se descubrió que un servidor con una base de datos que agrega información personal de mil 200 millones de usuarios, incluidas cuentas de redes sociales, direcciones de correo electrónico y números de teléfono, estaba sin protección. Hasta ahora, no está claro cómo ocurrió.
La mayoría de los datos fueron recopilados por una compañía llamada People Data Labs, asegura Vinny Troia, director ejecutivo de Night Lion Security, con sede en St. Louis. People Data Labs proporciona correos electrónicos de trabajo y detalles de cuentas de redes sociales para lo que la compañía afirma son mil 500 millones de personas.
De acuerdo con el sitio web de la compañía, esos datos se obtienen de varias fuentes y se venden como una forma de contactar a “más de 70 por ciento de los tomadores de decisiones en Estados Unidos, Reino Unido y Canadá”.
Los datos desprotegidos no residían en un servidor de People Data Labs, sino en un servidor de Google Cloud, según Troia. Google no respondió a una solicitud de comentarios sobre quién alquilaba el servidor.
Sean Thorne, cofundador y director ejecutivo de People Data Labs, dijo que algunos, pero no todos, los datos provenían de su compañía y sospecha que otra empresa los estaba agregando y fusionando varios puntos de datos.
“Estamos comprometidos a garantizar que nuestras descargas de datos masivos no estén expuestas”, explicó People Data Labs en su sitio web.
“Somos extremadamente sensibles a esto y tenemos múltiples socios de ‘sombrero blanco’ que están buscando en internet, en un esfuerzo por encontrar conjuntos de datos vulnerables y tomar medidas drásticas antes de que sean descubiertos por actores nefastos”. El descubrimiento fue informado previamente por Wired.
Troia, quien hizo el descubrimiento en octubre durante un escaneo de rutina en busca de datos desprotegidos, declaró que reportó los cuatro terabytes y su ubicación al FBI. El servidor ha sido apagado desde entonces, mencionó. El FBI no respondió a una solicitud de comentarios.
Troia precisó que no sabe quién dejó los datos en ese servidor, y podrían ser piratas informáticos maliciosos o clientes de People Data Labs. Detalló que el descubrimiento de cuentas de redes sociales sería particularmente valioso en manos de hackers criminales o vendedores de información errónea.
“Esta es la primera vez que veo correos electrónicos, nombres y números vinculados con los perfiles de Facebook, Twitter, LinkedIn y Github, todo en un solo lugar”, indicó Troia, quien se describe a sí mismo como un cazador de delitos informáticos.
“No hay contraseñas relacionadas con estos datos, pero tener un nuevo conjunto de contraseñas ya no es tan emocionante. Tener todas estas cosas de las redes sociales en un solo lugar es un arma útil y una herramienta de investigación”.