После скандала с Cambridge Analytica, разразившегося в Facebook, было обнаружено, что другая информационная компания накопила аналогичные профили пользователей миллионов людей.
Отчет, опубликованный в среду, показывает, как компания, занимающаяся данными, создала психографические профили 48 миллионов человек, используя данные из Facebook, Twitter, LinkedIn, Zillow и других, а затем оставила этот кладезь данных незащищенным в облаке. репозиторий хранения.
Данные были собраны LocalBlox, фирмой, которая «автоматически сканирует, обнаруживает, извлекает, индексирует, сопоставляет и дополняет данные в различных форматах из Интернета и сетей обмена» для создания профилей потребителей, которые он продается компаниям.
В феврале Крис Викери, специалист по этическим нарушениям данных и директор по исследованию киберрисков в охранной фирме UpGuard, смог получить доступ к миллионам этих профилей в незарегистрированной и незащищенной корзине Amazon Web Services S3. Ведро содержало файл размером 151,3 гигабайта, который после распаковки составлял 1,2 терабайта, содержащих профили пользователей. Он был удачно назван «final_people_data_2017_5_26_48m.json».
«После фиаско Facebook/Cambridge Analytica важность массивных наборов психографических данных становится все более и более очевидной», - говорится в отчете UpGuard. «Открытый набор данных LocalBlox объединяет стандартную личную информацию, такую как имя и адрес, с данными об использовании человеком Интернета, такими как его истории LinkedIn и каналы Twitter. Эта комбинация начинает строить трехмерную картину каждого затронутого лица - кто они, о чем они говорят, что им нравится, даже чем они зарабатывают на жизнь - по сути, план, на основе которого можно создавать целевой убедительный контент, например реклама или политическая кампания.”
Профили потребителей, собранные LocalBlox, различаются по уровню детализации. Большая часть информации может быть получена из общедоступных источников - адрес электронной почты, указанный в вашем профиле Facebook, или город проживания, указанный на вашей странице в Twitter. Считается, что часть информации была получена из закрытых источников, таких как приобретенные маркетинговые данные.
В статье ZDNet, опубликованной в среду, главный технический директор LocalBlox Ашфак Рахман сказал, что большая часть данных, обнаруженных Викери, была сфабрикована для внутренних тестов, и что Викери «взломал» общедоступный репозиторий. Но Викери сообщил LocalBlox, что он получил доступ к репозиторию после обнаружения уязвимости в феврале, и, как сообщается, вскоре после этого он был защищен.
«Рахман не сказал, почему он ограничил права доступа к корзине несколько часов спустя», - говорится в статье ZDNet.
Согласно Рахману, «никто не может получить доступ к этому файлу из корзины S3».
LocalBlox не нарушал никаких законов при сборе данных о потребителях, хотя неясно, нарушал ли он условия таких веб-сайтов, как LinkedIn, Facebook и Zillow, которые прямо запрещают очистку данных.
В статье, опубликованной в 2013 году, президент LocalBlox Сабира Арефин заявила, что «индивидуальные сайты и система должны сами определять условия и положения, а затем применять любой механизм безопасности, если они хотят предотвратить скрейпинг».
Викери сказал, что такие компании, как LocalBlox, должны более ответственно относиться к тому, как они обрабатывают и хранят данные людей.
«Сосредоточение сведений о миллионах людей по самой своей природе может стать оружием и может привести к большому вреду», - сказал Викери.
Отчет UpGuard заключает:
«Прибыльность, получаемая от данных, должна сопровождаться ответственностью за защиту их целостности и конфиденциальности. Облачное хранилище само по себе обеспечивает функциональность и скорость по разумной цене, но облачные ресурсы требуют тщательной настройки - тонкая грань между частным и общедоступным может быть стерта одним щелчком переключателя. Отсутствие контроля над общими ИТ-процессами - это то, что позволяет критическим ошибкам, подобным этой, проникать в производственную среду, нарушая конфиденциальность миллионов людей».