Szerző: Hlács Ferenc

2017. október 19. 16:20:00

30 millió dél-afrikai polgár személyes adatai szivárogtak ki

Az ország legsúlyosabb online információszivárgása a lakosság nagy részét érinti.

Irdatlan adatszivárgásnak esett áldozatul Dél-Afrika, az eset ráadásul nem csak az adatok mennyiségét, de érzékenységét tekintve is kiemelten súlyos: mintegy 30 millió lakos részletes, személyes adatai váltak nyilvánosan elérhetővé, beleértve a személyi igazolványok számát, a családi állapotot, bevételt, jelenlegi és korábbi állásokban betöltött pozíciókat, sőt azt is, milyen ingatlanok vannak az adott polgárok birtokában. A megszerzett információk között élő és elhunyt személyekre vonatkozó adatok is vannak. Ahogy azt az incidenst felfedező biztonsági szakértő, Troy Hunt is rámutat, legalább 30 millió profilról van szó, de a valós érték ennél jóval nagyobb lehet. Az adatokat tartalmazó, Hunt által is megszerzett fájl tekintélyes 27 gigabájtot tesz ki, a benne tárolt személyes feljegyzések pedig egészen 1990-ig nyúlnak vissza.

Az eset azért különösen aggasztó, mert egyelőre azt sem tudni biztosan, hogy a rendkívül kiterjedt és részletes adathalom honnan származik. Tefo Mohapi, az iAfrikan szerzője Hunttal együttműködve maga is kutatni kezdett az ügyben, az adatok lehetséges forrását pedig egy hitelirodára, illetve egy adataggregátor cégre szűkítette le. Miután a térség legnagyobb hitelirodája a TransUnion, kézenfekvő volt itt kezdenie a keresést.

southafr

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

Gyorsan kiderült, hogy az irodát a Dracore Data Sciences is ügyfelei között tudja, utóbbi cég ügyfelei pedig kapcsolatba hozhatók azokkal a domainekkel, ahol a hatalmas adatmennyiség is elérhetővé vált. Ennek fényében tehát úgy tűnik, hogy nem adatlopásról, sokkal inkább figyelmetlenség okozta adatszivárgásról van szó: az esetet felgöngyölítő iAfrikan, illetve az oldalnak ugyancsak nyilatkozó Hunt szerint elképesztő hanyagság áll az eset mögött, noha az egyelőre nem világos, hogy pontosan kit terhel a felelősség: lényegében arról van szó, hogy a hatalmas mennyiségű információt, amelyet a fenti cég begyűjtött, (ráadásul nem kizárt hogy az érintettek beleegyezése nélkül) egy bármiféle online védelmet nélkülöző szerveren tárolták - jobban mondva tették közzé.

Ezután nem kellett sok, hogy külső felek, köztük Hunt és az iAfrikan is rábukkanjon az adathalomra, különösebb erőfeszítés nélkül. Az oldal igyekszik hangsúlyozni, hogy egyelőre nem vehető biztosra, hogy a Dracore felel teljes mértékben a történtekért, az azonban az előzetes értesülések alapján biztosnak látszik, hogy a cég által összeállított adathalomról van szó, amely aztán egy közvetve a vállalattal kapcsolatba hozható szerveren vált elérhetővé.

Azt egyelőre nem tudni, hogy pontosan kik és hányan fértek hozzá a nyilvánosan közzétett adatokhoz. Ez Hunt posztja szerint majd az adott szerver naplóit átvizsgálva derülhet ki - utóbbiakat ugyanakkor a szakértőknek egyelőre nem sikerült megszerezni, és az sem biztos, hogy a későbbiekben hozzájutnak majd. Hogy a helyiek érintettek-e az adatszivárgásban, email címükkel ellenőrizhetik a Hunt által működtetett, jól ismert Have I been pwned weboldalon.

a címlapról