Un equipo de investigadores de seguridad afirma tener una base de datos de acceso público que expone información sobre más de 80 millones de hogares estadounidenses, casi el 65 por ciento del número total de hogares estadounidenses.
Descubierta por el equipo de investigación de VPNMentor dirigido por los hacktivistas Noam Rotem y Ran Locar, la base de datos no segura incluye 24 GB de información extremadamente detallada sobre hogares individuales, incluidos sus nombres completos, direcciones, edades y fechas de nacimiento.
La base de datos masiva que está alojada en un servidor en la nube de Microsoft también contiene información codificada anotada en «valores numéricos», que los investigadores creen que se correlaciona con el género, el estado civil, el nivel de ingresos, el estado y el tipo de vivienda de los propietarios.
Afortunadamente, la base de datos desprotegida no contiene contraseñas, números de seguro social o información de tarjetas de pago relacionadas con ninguno de los hogares estadounidenses afectados.
Los investigadores verificaron la exactitud de algunos datos en el caché, pero no descargaron los datos completos para minimizar la invasión de la privacidad de los afectados.
El equipo de investigación descubrió la base de datos accidentalmente mientras ejecutaba un proyecto de mapeo web mediante el escaneo de puertos para examinar bloques de IP conocidos con el fin de encontrar agujeros en los sistemas web, que luego examinan en busca de debilidades y fugas de datos.
Por lo general, el equipo alerta al propietario de la base de datos para que informe de la fuga para que la empresa afectada pueda protegerla, pero en este caso, los investigadores no pudieron identificar al propietario de la base de datos.
«A diferencia de las filtraciones anteriores que hemos descubierto, esta vez no tenemos idea de a quién pertenece esta base de datos», dice el equipo en una publicación de blog. «Está alojado en un servidor en la nube, lo que significa que la dirección IP asociada con él no está necesariamente conectada a su propietario».
La base de datos no segura estuvo en línea hasta el lunes y no requirió contraseña para acceder, que ahora se ha desconectado.
Dado que cada entrada en la base de datos termina con ‘member_code’ y ‘score’ y nadie en la lista tiene menos de 40 años, los investigadores sospechan que la base de datos podría ser propiedad de una compañía de seguros, atención médica o hipoteca.
Sin embargo, en la base de datos falta información como los números de póliza o de cuenta, los números de seguro social y los tipos de pago que alguien puede esperar encontrar en una base de datos propiedad de corredores o bancos.
Luego, los investigadores llamaron al público el lunes para ayudarlos a identificar quién podría ser el propietario de la base de datos en cuestión para que pueda protegerse.
Aunque la base de datos no expuso información confidencial de la tarjeta o SSN, los datos revelados son suficientes para preocuparse por el robo de identidad, el fraude, las estafas de phishing e incluso la invasión de viviendas.
Rotem es el mismo investigador de seguridad que a principios de este año encontró una vulnerabilidad grave en el popular sistema de reserva de boletos de avión en línea de Amadeus que podría haber permitido a los piratas informáticos remotos ver y modificar los detalles de viaje de millones de clientes de las principales aerolíneas internacionales e incluso reclamar sus millas de viajero frecuente. .
