Probablemente nunca hayas oído hablar de la empresa de marketing y agregación de datos Exactis. Pero es posible que haya oído hablar de ti. Y ahora también existe una buena posibilidad de que cualquier información que la empresa tenga sobre usted, se haya filtrado recientemente a la Internet pública, disponible para cualquier pirata informático que simplemente supiera dónde buscar.
A principios de este mes, el investigador de seguridad Vinny Troia descubrió que Exactis, un corredor de datos con sede en Palm Coast, Florida, había expuesto una base de datos que contenía cerca de 340 millones de registros individuales en un servidor de acceso público. El botín comprende cerca de 2 terabytes de datos que parecen incluir información personal sobre cientos de millones de adultos estadounidenses, así como millones de empresas. Si bien el número exacto de personas incluidas en los datos no está claro, y la filtración no parece contener información de tarjetas de crédito o números de Seguro Social, entra en detalles minuciosos para cada individuo en la lista, incluidos números de teléfono, direcciones de casa, direcciones de correo electrónico y otras características muy personales para cada nombre. Las categorías van desde intereses y hábitos hasta el número, la edad y el sexo de los hijos de la persona.
“Parece que esta es una base de datos con casi todos los ciudadanos estadounidenses en ella”, dice Troia, quien es el fundador de su propia compañía de seguridad con sede en Nueva York, Night Lion Security. Troia señala que ha encontrado a casi todas las personas que ha buscado en la base de datos. Y cuando WIRED le pidió que buscara registros para una lista de 10 personas específicas en la base de datos, rápidamente encontró seis de ellas. “No sé de dónde provienen los datos, pero es una de las colecciones más completas que he visto”, dice.
En la abertura
Si bien no está nada claro si algún pirata informático criminal o malicioso ha accedido a la base de datos, Troia dice que habría sido bastante fácil para ellos encontrarlo. El propio Troia detectó la base de datos mientras usaba la herramienta de búsqueda Shodan, que permite a los investigadores buscar todo tipo de dispositivos conectados a Internet. Dice que había sentido curiosidad por la seguridad de ElasticSearch, un tipo popular de base de datos que está diseñada para ser consultada fácilmente a través de Internet usando solo la línea de comandos. Así que simplemente usó Shodan para buscar todas las bases de datos de ElasticSearch visibles en servidores de acceso público con direcciones IP estadounidenses. Eso arrojó alrededor de 7.000 resultados. Mientras Troia los revisaba, rápidamente encontró la base de datos de Exactis, desprotegida por ningún cortafuegos.
“No soy la primera persona en pensar en eliminar servidores ElasticSearch”, dice. “Me sorprendería si alguien más no tuviera esto ya”.
Troia se puso en contacto con Exactis y el FBI sobre su descubrimiento la semana pasada, y dice que desde entonces la compañía ha protegido los datos para que ya no sean accesibles. Exactis no respondió a múltiples llamadas y correos electrónicos de WIRED solicitando comentarios sobre su filtración de datos.
Aparte de la gran amplitud de la filtración de Exactis, puede ser aún más notable por su profundidad: cada registro contiene entradas que van mucho más allá de la información de contacto y los registros públicos para incluir más de 400 variables en una amplia gama de características específicas: si la persona fuma, su religión, si tienen perros o gatos, e intereses tan variados como el buceo y la ropa de talla grande. WIRED analizó de forma independiente una muestra de los datos que Troia compartió y confirmó su autenticidad, aunque en algunos casos la información está desactualizada o es inexacta.
Si bien la falta de información financiera o números de Seguro Social significa que la base de datos no es una herramienta sencilla para el robo de identidad, la profundidad de la información personal podría ayudar a los estafadores con otras formas de ingeniería social, dice Marc Rotenberg, director ejecutivo de Electronic Privacy, una organización sin fines de lucro. Centro de Información. “La probabilidad de fraude financiero no es tan grande, pero la posibilidad de suplantación de identidad o creación de perfiles ciertamente existe”, dice Rotenberg. Señala que si bien algunos de los datos están disponibles en registros públicos, gran parte parece ser el tipo de información no pública que los corredores de datos agregan de fuentes como suscripciones a revistas, datos de transacciones de tarjetas de crédito vendidos por bancos e informes de crédito. “Mucha de esta información ahora se recopila de forma rutinaria sobre los consumidores estadounidenses”, agrega Rotenberg.
Sin la confirmación de Exactis, el número exacto de personas afectadas por la fuga de datos sigue siendo difícil de contar. Troia encontró dos versiones de la base de datos de Exactis, una de las cuales parece haber sido agregada recientemente durante el período en que estuvo observando su servidor. Ambos contenían aproximadamente 340 millones de registros, divididos en aproximadamente 230 millones de registros sobre consumidores y 110 millones sobre contactos comerciales. En su sitio web, Exactis se jacta de poseer datos sobre 218 millones de personas, incluidos 110 millones de hogares estadounidenses, así como un total de 3.500 millones de “registros digitales, comerciales y de consumidores”.
