Огромная база деловых контактов работников американских корпораций утекла в Сеть. База насчитывает более 33 млн уникальных записей — почтовые адреса, имена и фамилии и занимаемые должности. Эксперты считают, что эта база представляет «золотое дно» для фишеров и других киберпреступников.

33,7 млн записей, 52 гигабайта
В Сеть утекла очень крупная база данных с контактными данными миллионов работников американских корпораций. База содержит 33,7 млн уникальных записей, в которой представлены почтовые адреса, полные имена, названия занимаемых должностей и функции работников, и другая информация разной степени конфиденциальности.
В базе присутствуют данные сотрудников известнейших американских компаний, в том числе работающих в ИКТ-отрасли: AT&T, Boeing, Dell, FedEx, IBM, Xerox и других.
Как пишет ZDNet, база «содержит десятки полей», и, помимо сугубо персональной информации, в ней собраны также более-менее публично доступные сведения, такие как географическое расположение штаб-квартир и офисов, количество работников в каждой компании и их отраслевая принадлежность — реклама, юридические услуги, СМИ и телекоммуникации.
Подобного рода данные используют маркетологи и рекламщики для проведения адресных кампаний. Стоимость подобных баз данных может быть очень велика.
Как сказано в публикации ZDNet, на 2015 г. стоимость доступа к полумиллиону таких записей достигала $200 тыс. Таким образом, доступ ко всей утекшей базе составил бы порядка $13,7 млн.

Эксперт по безопасности Трой Хант (Troy Hunt), ведущий ресурса Have I Been Pwnd, который получил из некоего «надёжного» источника всю эту базу, написал: «В то время, как часть этих данных можно насобирать из открытых источников, именно то, что эти сведения аккумулированы и структурированы, и по ним очень проводить поиск, составляет огромную ценность. Это также служит напоминанием, что мы потеряли контроль над приватностью своих личных данных; большая часть людей в этом наборе понятия не имеют, что их данными торгуют, и что они никак не могут на это повлиять».
Любой желающий может проверить, имеется ли его адрес в утекшей базе на сайте Have I Been Pwned.
Откуда дровишки
Утекшая база данных принадлежит (или принадлежала) маркетинговой корпорации Dun & Bradstreet. Та пока отреагировала на информацию об утечке лишь коротким заявлением: «Мы тщательно проанализировали полученную информацию и пришли к выводу, что она соответствует тому же типу и представлена в том же формате, в котором мы предоставляем данные нашим клиентам на ежедневной основе. Наш анализ показывает, что эти данные были получены и растиражированы не через систему Dun & Bradstreet».
Представители Dun & Bradstreet утверждают, что их системы не подвергались никаким взломам и вторжениям, что данные из этой базы продавались «тысячам» разных компаний и что сами утекшие данные были актуальны примерно шесть месяцев назад.
По всей видимости, утечка произошла у кого-то из клиентов Dun & Bradstreet, но выяснить, откуда, будет весьма проблематично.
Риск? Какой риск?
В Dun & Bradstreet утверждают, что данная утечка не представляет большой угрозы для пользователей, поскольку в основном это «общедоступные контактные данные, используемые для продаж и маркетинговых целей».
Трой Хант считает иначе. «Когда у вас в руках чьи-то имена и фамилии, названия должностей, почтовые адреса и название компании, в которой они работают, вы владеете данными, которые можно использовать для полного установления личности, — пишет Хант. — Именно поэтому этот массив данных является взрывоопасным: такое обилие персональной информации о столь большом количестве людей в контексте их профессиональных ролей составляет массу угроз для организаций, с которыми они связаны».
В частности, по мнению Ханта, для фишеров этот набор данных является «золотым дном».
С ним согласна директор по продажам компании Sec-Consult Rus Ксения Шилак: «Столь подробные данные о работниках корпораций представляют огромную ценность для фишеров и других киберпреступников. И тут стоит напомнить, что первым этапом целевых атак и APT-кампаний чаще всего оказывается именно фишинг. Как минимум, в теории столь массивная утечка подобных данных может существенно облегчить задачу промышленным шпионам, стремящимся получить доступ к интеллектуальной собственности компании».
Что же касается контроля над личными данными, то, как отметила Шилак, большая часть этих сведений и так публикуется в открытую, иногда самими же пользователями. Ценность — и потенциальную угрозу — эти сведения начинают представлять только тогда, когда они собраны воедино, структурированы и выложены в общий доступ все разом.

Источник: cnews.ru