データハーベスティングがあなたの個人情報を公開したときの10の実際の例

Facebookや他の企業が個人データの使用を説明するようになったため、ユーザーのプライバシーと企業の広告販売との対立関係が引き続き注目を集めています。

しかし、これは最近の傾向ではありません。企業は成長と収益を求めて何年にもわたって個人データを繰り返し侵害してきました。データ収集によって個人情報が危険にさらされる、いくつかの注目すべき機会があります。

1.LocalBloxは4800万のソーシャルアカウントを公開します

LocalBloxは、すべての間違った理由で最近ヘッドラインを作ったソーシャルメディアデータアグリゲーターです。これは、サイバーセキュリティ会社のUpGuardが、LocalBloxが4800万のアカウントのデータを公開したままにしていることを発見した後です。

「UpGuardCyber​​RiskTeamは、個人およびビジネスデータ検索サービスであるLocalBloxに属する情報を含むクラウドストレージリポジトリが公開されたままになっていることを確認できるようになりました。複数のソースから取得した」と述べています。

しかし、漏洩したデータにはソーシャルメディアの詳細だけが含まれていませんでした。それははるかに多くの個人情報を含んでいました。公開されたデータには、実名、住所、誕生日などが含まれていました。これに加えて、ユーザーデータには、LinkedIn、Facebook、Twitterなどのさまざまなネットワークからの詳細も含まれていました。

UpGuardが指摘しているように、犯罪者はこのデータを、ソーシャルエンジニアリングによるフィッシングの試みや攻撃、社会的操作、個人情報の盗難など、多数の詐欺に使用しています。

2.1億9800万人の米国の有権者が公開されたデータ

2017年、共和党全国委員会（RNC）に雇われたデータ会社が、アメリカの2億人の登録有権者のほぼ全員のデータを危険にさらしました。

同社のDeepRootAnalyticsは、個人情報に基づいてアメリカの有権者のプロファイルを提供しました。このデータを収集するために、TargetpointConsultingとDataTrustという他の2つの企業と協力しました。

その結果、膨大な情報が収集されました。漏洩した情報には、氏名、住所、電話番号などが含まれていました。データには、人の民族性と宗教を予測するモデルも含まれていました。

リークにより、DeepRootAnalyticsに対する集団訴訟が発生しました。結局のところ、同社は1.1テラバイトを超えるデータをセキュリティで保護されていないクラウドサーバーに公開しました。

3.スパマーが14億人のユーザーからデータをリーク

データ集約会社は合法ですが、すべてのデータハーベスターが法の範囲内で機能するわけではありません。これは、City River Media（CRM）の場合でした。これは、10億人を超えるユーザーのデータを誤って漏えいさせた、大規模な違法スパム操作です。

リークにより、実名、ユーザーIPアドレス、場合によっては物理アドレスと組み合わされた14億の電子メールアカウントが侵害されました。

どうしてそうなった？ MacKeeper Security Research Center、CSOOnline、およびSpamhausの調査員によると;不適切に構成されたRsyncバックアップは、データを脆弱なままにしました。

これから得られる唯一の良い点は、合法的なマーケティング会社を装っていたCRMが、毎日10億通以上の自動メールを送信するスパム操作として公開されたことです。 MacKeeperのChrisVickeryは、CRMのHipchatログ、ドメイン登録レコード、経理の詳細、インフラストラクチャ計画、生産メモ、スクリプト、および事業提携にアクセスできました。その後、彼はこれらの詳細を当局に引き渡しました。

ただし、このような新しい会社は毎日出現するため、スパマーからメールアドレスを保護するための予防措置を講じる必要があります。

4.GrindrはユーザーのHIVステータスを共有します

漏洩した個人データのすべてがセキュリティ上の欠陥や設定ミスの結果であるとは限りません。 FacebookやCambridgeAnalyticaで見たように、サービスやアプリがソーシャルユーザーからデータを収集し、それをサードパーティに提供することがあります。

AleksandrKoganによるCambridgeAnalyticaへのデータの引き渡しは、Facebookの利用規約に違反しました。しかし、収集された膨大な量のデータは、当時のFacebookのポリシーとAPIの範囲内で収集されました。

同様に、ユーザーがサードパーティがGrindrユーザーのHIVステータスにアクセスできることを発見したとき、これはLGBTの出会い系ネットワークでは通常どおりのビジネスであることがわかりました。データには、ユーザーのGPS位置、電話ID、および電子メールアドレスも含まれていました。

ユーザーは、これをプライバシーの重大な違反と見なしました。同社は、特に機密性が高く、通常は機密性の高い医療情報を、ApptimizeとLocalyticsという他の2つの企業と共有していました。

Grindrは、データを販売または漏洩しないことをユーザーに保証しました。むしろ、アプリの最適化に役立つデータを共有しました。とにかく、同社は後に、ユーザーのHIVステータスを第三者と共有しないことを発表しました。

セキュリティの専門家は、このような機密情報を第三者と共有すると、漏洩や侵害の可能性が高まると指摘しました。幸いなことに、オンラインアカウントがハッキングされたか、侵害されたかを確認するのに役立つツールがオンラインで利用できます。

5.リークされたレコードが国の人口を超えています

南アフリカで最大のデータ漏えいは非常に広範囲にわたるため、漏えいした個人記録の数は国の全人口を上回っています。漏洩には、国内の大多数の人々の個人情報だけでなく、死亡した人々も含まれていました。データには、1200万人を超える未成年者の識別（ID）番号も含まれていました。

合計で、データは、連絡先の詳細、氏名などの個人情報とともに、6000万の一意のID番号を公開しました。南アフリカ市民のID番号を使用して、誕生日、性別、年齢などの個人情報を収集できるため、リークは特に深刻でした。犯罪者は、これらの番号を使用してIDを盗んだり、詐欺を働いたりすることがよくあります。

では、このデータはどのようにして公開されたのでしょうか。 masterdeeds.sqlという名前のデータベースバックアップが、公開されているセキュリティで保護されていないサーバーで見つかりました。サイバーセキュリティの専門家であり、HaveIBeenPwned.comの創設者であるTroy Huntは、少なくとも7か月間公開されたデータについて情報を入手しました。

Dracoreという名前の会社がデータを集約し、データベースを作成しました。しかし、クライアントの1つであるJigsaw Holdingsは、セキュリティで保護されていないサーバーでデータを公開しました。

6.Twitterで共有されるデータ会社のファイル

米国を拠点とするデータ管理会社であるModernBusinessSolutionsは、2016年に世論の裏側にいることに気づきました。その緩いセキュリティにより、5,800万件の消費者レコードが公開されました。

セキュリティで保護されていないMongoDBデータベースのおかげで、ハッカーは何百万もの人々の情報にアクセスして共有することができました。ハッカーはデータベースをダウンロードし、公開サイトにアップロードしてから、Twitterでリンクを共有しました。誤って構成されたMongoDBデータベースは、ハッカーが無防備な人々から情報を盗む多くの方法の1つです。

この場合、公開されたデータには、名前、生年月日、メールアドレスと住所、役職、電話番号、車両データ、IPアドレスが含まれていました。

7.データブローカーから盗まれた何百万ものID

データ収集会社が提起するプライバシーの懸念は、しばらく前から存在していました。 2013年でも、ハッカーがいくつかの主要なデータブローカーのサーバーにアクセスしたことが発見されたとき、データ収集の危険性が浮き彫りになりました。このアクセスにより、彼らは何百万人ものアメリカ人の情報を盗むことができました。

ハッカーは、誤って構成されたサーバー、セキュリティ上の欠陥、およびセキュリティで保護されていないデータベースを介してこのデータの多くにアクセスし、SSNDOBという名前のサイトにアップロードしました。 SSNDOB自体も、盗まれた情報を販売するデータアグリゲーターでした。

盗まれたデータには、社会保障番号、信用記録、身元調査、誕生日、住所、その他の個人データが含まれていました。ハクティビストの10代の若者がSSNDOBに違反したとき、彼らは記録がどれほど広範であるかを発見しました。カニエ・ウェスト、ジェイ・Z、ビヨンセなどの有名人の住所や個人情報ですら。当時のミシェルオバマ大統領夫人などの著名人もアクセス可能でした。

SSNDOBのボットネットは、LexisNexis Inc、Dun＆Bradstreet、Kroll BackgroundAmericaIncなどの主要なデータブローカーのサーバーにアクセスしました。FBIは最終的にこの問題の調査を開始しました。

8.1億2300万の米国の世帯に関するAlteryxリークデータ

2017年、UpGuardは、データ分析会社Alteryxがセキュリティで保護されていないデータリポジトリを介して1億2300万のアメリカの家庭のデータを公開したことを発見しました。

Alteryxのパートナーの1つが消費者信用調査機関であるExperianであるため、公的にアクセス可能な情報は特に機密性が高くなりました。リポジトリには、自宅の住所、連絡先の詳細、住宅ローンの詳細、財務履歴、購入履歴が含まれていました。アマゾンウェブサービスアカウントを持っている人なら誰でもこの情報にアクセスできます。

UpGuardは、このデータを「アメリカの消費者の生活を非常に侵略的に垣間見る」と説明しました。幸いなことに、データは公開されなくなりましたが、これらのリークのほとんどと同様に、機密情報を見つけてダウンロードした人の数は不明です。

リークはまた、企業が収集する個人データの量を消費者に思い出させました。単純なインターネットブラウジングでさえ、Webサイトがあなたの個人情報を収集する結果になります。

9.別のFacebookクイズでユーザーデータが漏洩する

FacebookユーザーはまだCambridgeAnalyticaスキャンダルに巻き込まれています。しかし、データ収集にFacebookクイズを使用したのは、ケンブリッジアナリティカだけではなかったようです。

ニューサイエンティストによると、ケンブリッジ大学の研究者はmyPersonalityと呼ばれるクイズを作成しました。クイズは参加者に関するデータを収集し、研究者はそれをオンラインデータベースにアップロードしました。他の機関の何百人もの研究者が、研究目的でこのデータにアクセスできます。

ただし、不十分なセキュリティ対策により、このデータは4年間公開されました。登録された共同編集者のログインのみがデータにアクセスできましたが、公開されたワーキングセットのクレデンシャルがセキュリティを侵害しました。

「過去4年間、有効なユーザー名とパスワードがオンラインで利用可能であり、1回のWeb検索で見つけることができました。データセットにアクセスしたい人は誰でも、1分以内にダウンロードするための鍵を見つけることができたでしょう。」New科学者は言った。

データには、約300万人のFacebookユーザーの個人情報と心理テストの結果が含まれていました。

10.データベースは3300万人の従業員を公開します

2017年、一般市民は、米国政府および企業の従業員に関するDun＆Bradstreetデータベースが漏洩したことを発見しました。これにより、名前、役職と職務、給与、連絡先の詳細、メールアドレスなどの詳細を含む3,300万件を超えるレコードが公開されました。

Dun＆Bradstreetがおなじみのように聞こえる場合、それは彼らのデータベースがSSNDOBのコレクション（前述）に含まれていたためです。従業員データを集約し、マーケターに記録を販売する同社は、漏洩の責任を否定した。彼らはデータベースを作成しましたが、リークの原因として考えられるのは、数千のクライアントの1つでした。

トロイハントは、情報源が彼にデータベースを送った後、リークを発見しました。ハント氏は、国防総省の従業員の記録がデータの大部分を占めていると述べました。これにより、インテリジェンスアナリスト、化学技術者、兵士、小隊軍曹などの役職がデータで特定されたため、彼らは特に危険にさらされました。特定の政府の役割に潜入したり攻撃したりする可能性のある外国の機関に役立ちます。

「私たちは個人データの管理を失い、[ティム]バーナーズリーがほんの数日前に言ったように、共有したくないデータを企業にフィードバックする方法がないことがよくあります」とハント氏は述べています。ダン＆ブラッドストリートのリークに関する彼のレポート。

リークの影響を受けた人々のほとんどは、企業がデータを収集し、慎重に集約されたリストで売却したことを知らなかった可能性があります。