O rombo foi no banco de dados da Dun & Bradstreet que contém mais de 33 milhões de registros de departamentos governamentais e grandes clientes corporativos que são vendidos aos profissionais de marketing e consultados mundialmente por empresas como fonte de validação de dados.
NOVA YORK – Milhões de registros de uma base de dados corporativa comercial foram vazados.
O banco de dados, com cerca de 52 GB de tamanho, contém pouco menos de 33,7 milhões de endereços de e-mail exclusivos e outras informações de contato de funcionários de milhares de empresas, representando uma grande parcela da população corporativa dos EUA.
A Dun & Bradstreet, gigante de serviços empresariais, confirmou que possui a base de dados, que adquiriu como parte de um acordo de 2015 para comprar a NetProspex por US $ 125 milhões.
O banco de dados comprado contém dezenas de campos, alguns incluindo informações pessoais, como nomes, cargos e funções, endereços de e-mail de trabalho e números de telefone.
Outras informações incluem dados genéricos corporativos e de fonte pública, como a localização do escritório, o número de funcionários na unidade de negócios e outras descrições do tipo de indústria em que a empresa se insere, como publicidade, jurídica, mídia e transmissão e Telecomunicações.
Este banco de dados inteiro é usado para os comerciantes que querem direcionar suas próprias campanhas de e-mail e através de outros métodos de comunicação para clientes atuais e potenciais e também pelas autoridades certificadoras no mundo todos para verificação de propriedade do domínio a ser atrelado a um certificado digital SSl/ TLS.
Os dados podem ser comprados em volume ou por tipo de registro por empresas, mas não se sabe exatamente o quanto a taxa é para um conjunto completo de dados desse tamanho. Entendemos, a partir de uma brochura de 2015, que o custo de acesso a meio milhão de registros pode custar a algumas empresas até US $ 200.000.
Troy Hunt, que executa o site de notificação de violação, já foi Pwned , obteve o banco de dados e analisou os registros .
Em um post de seu blog na terça-feira, revelou que a Califórnia foi a mais representada demograficamente, com mais de quatro milhões de registros, seguida por Nova York com 2,7 milhões de registros e o Texas com 2,6 milhões de registros.
A análise de Hunt dos registros mostrou que a organização líder por registros é o Departamento de Defesa, com 101.013 registros de funcionários, seguido de perto pelo Serviço Postal dos EUA com 88.153 registros de funcionários.
O Exército dos EUA, a Força Aérea e o Departamento de Assuntos de Veteranos estão todos listados com um total de 76.379 registros.
A AT & T, a Boeing, a Dell, a FedEx, a IBM ea Xerox estavam entre as empresas mais citadas no banco de dados, com dezenas de milhares de registros de empregados cada.
“Embora você possa reunir partes dos dados de informações já no domínio público, tê-lo agregado e tão facilmente pesquisável desta forma é extremamente valioso”, disse Hunt em um e-mail na terça-feira. “Ele também serve como um lembrete de que nós perdemos o controle de nossa privacidade, a grande maioria das pessoas no conjunto de dados não teria ideia de que suas informações estão sendo vendidas desta forma e eles certamente não têm qualquer controle sobre elas. ”
Hunt publicou o banco de dados exposto através do banco de dados do Have I Been Pwned , que mostrava que 14% dos endereços de e-mail já existiam em seu banco de dados.
Os dados são agora pesquisáveis em Have I Been Pwned.
Mas não se sabe exatamente como os dados foram expostos, ou quem é o culpado pelo vazamento.
Um porta-voz de Dun & Bradshaw não falaria sobre o registro além de uma declaração por e-mail, enviada antes da publicação.
“Nós avaliamos cuidadosamente a informação que foi compartilhada conosco e é de um tipo e em um formato que entregamos aos clientes todos os dias. Baseado em nossa análise, não foi acessado ou exposto através de um sistema Dun & Bradstreet”.
O porta-voz disse que uma investigação interna mostrou que, embora os dados pertençam à empresa, seus próprios sistemas não foram violados ou expostos. A empresa acrescentou que os dados tinham aproximadamente seis meses de idade e que os dados em massa foram vendidos a “milhares” de outras empresas.
A Dun & Bradstreet minimizou o risco para seus clientes e para os que coletam dados. A empresa disse que os dados contêm “dados de contato de negócios geralmente disponíveis publicamente, usados para fins de vendas e marketing”.
Isso não diminui as possibilidades de abuso desses dados, disse Hunt.
“Quando você tem o primeiro e o último sobrenome de alguém, seu cargo e seu endereço de e-mail junto com a empresa para a qual trabalha, você tem [informações pessoais identificáveis]”, disse ele em seu post no blog. “E isso é realmente o que faz com que esta uma coleção altamente volátil de dados, essa informação muito pessoal sobre essas muitas pessoas e definir no contexto de seus papéis profissionais coloca inúmeros riscos para as organizações envolvidas aqui”, disse ele.
Esse tipo de dados pode ser usado por profissionais de marketing, mas também pode ser usado por atores nefastos que visam as vítimas por ganhos maliciosos.
Nos últimos anos, tem havido uma série de ataques de phishing projetados para diretores financeiros alvo e outros altos funcionários corporativos, em um esforço para enganar os funcionários em transformar informações financeiras.
Esses dados tornariam mais fácil para os cibercriminosos realizarem esses tipos de ataques, disse Hunt em um e-mail.
“É uma mina de ouro para phishing porque aqui você tem uma quantidade enorme de informações úteis para elaborar os ataques “, disse ele. “A partir desses dados, você pode reunir estruturas organizacionais e adaptar mensagens para criar um ar de autenticidade e isso é algo que atrai tanto os criminosos.
Não está claro se a venda deste tipo de dados se enquadra nas leis de proteção de dados e privacidade, embora a empresa mantenha que está em conformidade com as leis de privacidade dos EUA.
Ele acrescentou que a empresa às vezes, inadvertidamente, coleta “muito mais dados pessoais altamente sensíveis e confidenciais”, que não fornece ou vende aos clientes.
A empresa não comentaria sobre como o vazamento afetará seus negócios, sem indicação clara de quantas vezes os dados podem ter sido acessados, baixados ou compartilhados.
Sobre os trabalhadores corporativos cujos dados foram vendidos, Hunt disse que há “zero” chance deles reivindicarem seus dados de volta.
Fonte: http://www.zdnet.com
Por Zack Whittaker para Zero Day |
Se você encontrar algum erro na tradução nos envie e um email para rd@localhost
