بدیهی است که قبل از رسیدن کودک به سن 13 سالگی، تبلیغ کنندگان بیش از 72 سال را جمع آوری کرده اند. میلیون داده ها به آن اشاره می کنند. میدانستم اخیراً معیاری در این مورد دیدهام، بنابراین «7000» را جستجو کردم، که کاملاً نشان میدهد که چقدر کم متوجه میشویم که چه مقدار داده از همه ما جمعآوری شده است. من Have I Been Pwned (HIBP) را در درجه اول به این دلیل شروع کردم که از جایی که اطلاعات من در موارد نقض ظاهر می شود شگفت زده شدم. پس از 11 سال و 14 میلیارد رکورد به خطر افتاده، من … هنوز تعجب کرد!
جیسون (نام واقعی او نیست) نیز اخیراً از جایی که اطلاعات او نشان داده شده است شگفت زده شد. او آن را در نقض سرویسی به نام Pure Incubation پیدا کرد، شرکتی که سوابق آن در اوایل سال جاری در یک انجمن هک محبوب ظاهر شد:
#نشت داده ها هشدار ⚠️⚠️⚠️
🚨بیش از ۱۸۳ میلیون رکورد پروژه خالص مهد کودک برای فروش🚨
183,754,481 رکورد متعلق به Pure Incubation Ventures (https://t.co/m3sjzAMlXN) در یک فروم هک به قیمت 6000 دلار قابل مذاکره برای فروش گذاشته شده است.
علاوه بر این، بازیگر تهدید با… pic.twitter.com/tqsyb8plPG
– Hackmanac (@H4ckManac) 28 فوریه 2024
هنگامی که جیسون آدرس ایمیل و سایر اطلاعات خود را در این گروه پیدا کرد، همان سوالی را داشت که بسیاری دیگر وقتی اطلاعات آنها در جایی ظاهر می شود که قبلاً هرگز در مورد آن نشنیده بودند می پرسند – چگونه؟ چرا؟! پس از آنها پرسید:
به نظر می رسد ایمیل خود را در نقض داده های شما پیدا کردم. من علاقه مندم بدانم چگونه اطلاعات من در پایگاه داده شما قرار گرفت.
به اعتبار آنها، او پاسخ بسیار جامعی داشت که در زیر آورده ام:
خوب، این به بخش «چگونه» معا، پاسخ می دهد. آنها داده ها را از منابع عمومی جمع آوری ،د. و ،مت “چرا”؟ این استعاره قدیمی “داده ها نفت جدید هستند” است که تشخیص می دهد اطلاعات ما چقدر مهم است، و به این ترتیب، بازاری برای آن وجود دارد. اصطلاحات زیادی برای توصیف کاری که DemandScience انجام میدهد، استفاده میشود، از جمله «تولید تقاضای ،بوکار به ،بوکار»، «ارائهدهنده راهحلهای اطلاعاتی ،یدار»، «توانایی شرکتهای فناوری برای تسریع بازگشت سرمایه»، «افزایش خط لوله» و «هوش حساب». . یا به عبارت ساده تر، آنها داده های مربوط به افراد را می فروشند.
DemandScience چیزی است که ما از آن به ،وان «جمعکننده داده» یاد میکنیم، زیرا دادههای هویتی را از چندین سایت جمعآوری میکند، آنها را جمعآوری میکند و سپس به فروش میرساند. گاهی اوقات، جمعآوران دادهها قرب، نقضهای بزرگ دادهها میشوند. قبل از امروز، HIBP قبلاً Adapt (9 میلیون رکورد)، Data & Leads (44 میلیون رکورد)، Exactis (132 میلیون رکورد)، Factual (2 میلیون رکورد) و You've Been S،ed (66 میلیون رکورد) داشت. به گفته DemandScience، “هیچ یک از سیستم های عملیاتی موجود ما مورد سوء استفاده قرار نگرفت”، اما در همان زمان، “داده های فاش شده از یک سیستم از کار افتاده منشاء می گیرند.” بنابراین، نقض دستور قدیم است.
آیا این مهم است؟ منظورم این است که اگر فقط بی،ه های عمومی است، آیا مردم باید اهمیت دهند؟ جیسون حداقل به اندازهای اهمیت داد که تحقیقات اولیه را انجام دهد و DemandScience او را جستجو کند و متوجه شود که او در جایی که آنها بودند نیست. حاضر پایگاه داده. با این حال، در منطقه هک شده است (من بعداً گزارش هک خود را برای جیسون فرستادم و او صحت آن را تأیید کرد). همانطور که اغلب در این موارد انجام می دهم، با گروهی از مش،ین جدید HIBP که هک شده بودند تماس گرفتم و از آنها سه سوال ساده پرسیدم:
- آیا داده های مربوط به شما دقیق است و اگر نه، چه داده هایی نادرست است؟
- آیا این داده ها در حال حاضر در حوزه عمومی هستند؟
- آیا انتظار دارید در مورد استفاده از دادههای خود به این روش و در نتیجه تخلف رخ داده مطلع شوید؟
پاسخها همه ی،ان بود: دادهها دقیق هستند، در حال حاضر در مالکیت عمومی قرار دارند، و مردم خیلی نگران نشان دادن آن در این هک نیستند. خب آسون بود 🙂 اما…
دو نکته ظریف وجود دارد که در اینجا ذکر نشده است، اولین مورد این است او هست داده های ارزشمند، به همین دلیل DemandScience آن را می فروشد! این به قیاس “روغن جدید” برمی گردد، اگر به اندازه کافی از آن دارید، می تو،د پول خوبی برای آن دریافت کنید. شرکتها معمولاً از دادههایی مانند این استفاده میکنند تا به طور خاص کارهای جذابی را که شرکت در مورد آن صحبت میکند، انجام دهند، که در درجه اول در مورد به حدا،ر رساندن درآمد مشتریان با درک بهتر آنها است.
تفاوت دوم این است که اگرچه این داده ها ممکن است قبلاً در مالکیت عمومی باشد، آیا صاحبان آن انتظار داشتند که از آن به این طریق استفاده شود؟ به ،وان مثال، اگر جزئیات خود را در فهرست ،ب و کار منتشر کنید، آیا انتظار دارید این اطلاعات به سایر مشاغل فروخته شود تا به آنها کمک کند محصولات خود را به شما بفروشند؟ شاید نه. و اگر ردیف شخصی، مانند بسیاری از رکوردها در داده ها، با نمایه لینکدین او همراه باشد، آیا می تواند انتظار داشته باشد که آن داده ها مطابقت داده و فروخته شوند؟ من پیشنهاد میکنم که پاسخها در اینجا احتمالاً ت،یم میشوند، و این به خودی خود یک مشاهدات مهم است: اینکه چگونه حساسیت دادههایمان را میبینیم و تأثیر افشای آنها (چه شخصی یا تجاری) یک موضوع بسیار شخصی است. برخی از افراد دیدگاه “من چیزی برای پنهان ، ندارم” را می گیرند، در حالی که برخی دیگر اگر فقط آدرس ایمیل آنها فاش شود عصب، می شوند.
در حالی که به این فکر میکردم که چگونه ایدههای بیشتری را به این پست وبلاگ اضافه کنم، فکر کردم یک اسکن سریع فقط از یک آدرس ایمیل انجام دهم:
"54543060",,"0","TROY","HUNT","PO BOX 57",,"WEST RYDE",,,"AU","61298503333",,,,"troy.،[email protected]","pfizer.com","PFIZER INC",,"250-499","$50 - 99 Million","Healthcare, Pharmaceuticals and Biotech","VICE PRESIDENT OF INFORMATION TECHNOLOGY","VP Level","2834",,"Senior Management (SVP/GM/Director)","IT",,"1","GemsTarget INTL","GEMSTARGET_INTL_648K_10.17.18",,,,,,,,,"18/10/2018 05:12:39","5/10/2021 16:47:56","PFIZER.COM",,,,,"IT Management General","Information Technology"
من در اینجا کاملاً شفاف و صادق خواهم بود – کلمات دقیق من پس از یافتن این بود “ل،تی!«یک داستان واقعی که در اینجا بدون سانسور روایت میشود، زیرا میخواهم مخاطب را با نحوه انجام آن متحیر کنم من وقتی اطلاعات من در جایی به صورت عمومی ظاهر می شود احساس می کنم. و من احساس می کنم که این اطلاعات من است. قطعا همینطور است برای من نام من است و اگرچه آدرس ایمیل قدیمی فایزر من است که نزدیک به یک دهه است که از آن استفاده نکرده ام، اما نام من نیز روی آن است. برای من ،وان شغل هم هست…این کاملا اشتباه است! من هرگز سمتی در سطح معاونت نداشته ام، اگرچه اظهارات دیگر در مورد نقش فنی من حداقل تقریباً درست است. اما به غیر از شوک اولیه یافتن خود در یک نقض اطلاعات دیگر، من شخصاً در همان قایق مش،ان HIBP هستم که با آنها در تماس بودهام، و این خیلی مرا آزار نمیدهد. اما با پاسخ های زیر که به سوال سومم دریافت کردم نیز موافقم:
من فکر میکنم اطلاعرس، در مورد چنین نقضهایی مفید است، حتی اگر فقط برای اطمینان از اینکه هیچ داده حساسی به خطر نیفتد. همانطور که گفتم، بخش فناوری اطلاعات ما اخیراً به من اطلاع داد که برخی از داده های من لو رفته است و رمز عبور پیشگیرانه به اجبار تنظیم شده است، زیرا آنها نمی دانند چه چیزی درز کرده است.
در صورت افزایش حملات به آدرس ایمیل من، خوب است که آن را به ،وان یک اعلان اطلاعاتی ببینیم.
من میخواهم اشتراک اینجا را لغو کنم تا ایمیلهای هر،مه و فیشینگ را کاهش دهم.
مورد دوم کاملاً منطقی به نظر می رسد، و خوشبختانه DemandScience پیوندی در وب سایت خود دارد که اطلاعات من را نفروشید:
نفرین اگر شما هم مانند من بخشی از 99.5 درصد جمعیت جهان هستید که در کالیفرنیا زندگی نمی کنند، این مدل به وضوح برای شما من، نیست. با این حال، آنها [email protected] را در آن صفحه فهرست می کنند، که همان آدرسی است که جیسون در بالا با آن ارتباط برقرار می کرد. به احتمال زیاد، اگر می خواهید داده های خود را حذف کنید، از اینجا شروع می کنید.
تقریباً 122 میلیون آدرس ایمیل منحصر به فرد در این گروه وجود داشت و اکنون آنها به HIBP اضافه شده اند. این را به ،وان اطلاعاتی در نظر بگیرید. من گمان میکنم که این موضوع بیشتر مردم را آزار نمیدهد، در حالی که دیگران میخواهند دادههای آنها فروخته نشود (مهم نیست در کجای دنیا زندگی میکنند). اما به احتمال زیاد، بیش از چند مش، دامنه وجود خواهد داشت که به این حجم از دادههای افراد که در یک تکه نشسته است اعتراض میکنند که به راحتی از طریق یک انجمن هک وب آشکار قابل دانلود است. برای مثال، آدرس من تنها یکی از دهها هزار آدرس ایمیل فایزر بود، و این همان چیزی است که باعث عصب،ت برخی از افراد امنیت اطلاعات شرکتها میشود.
نظر نهایی: اوایل سال جاری داست، با ،وان بررسی ما در مورد نشت پروژه های جوجه کشی خالص منتشر شد که نشان می داد در داده ها “گذرواژه های رمزگذاری شده” وجود دارد. بسیاری از فایل ها حاوی ستونی هستند که حاوی هش bcrypt است (که مطمئناً همینطور است نه رمزگذاری)، اما با توجه به روشی که این دادهها جمعآوری شدهاند، نمیتوانم هیچ مدرکی مبنی بر هش رمز عبور اینها ببینم. به این ترتیب، من «گذرواژهها» را به ،وان یکی از دستههایی از دادههای به خطر افتاده در HIBP فهرست نکردم و اینکه شما خود را در این نقض پیدا کنید اصلاً نگران این موضوع نخواهید بود.
آیا شما Pwned شده اید؟
منبع: https://www.troy،t.com/inside-the-demandscience-by-pure-incubation-data-breach/