16 TB åben database vækker ny bekymring om misbrug af professionelle oplysninger

Sikkerhedsforskere faldt over en MongoDB-database, der stod helt ubeskyttet på nettet.

Databasen var på 16 terabyte og rummede omkring 4,3 milliarder jobrelaterede datasæt.

Der gik noget tid, før adgangen blev lukket, og i mellemtiden kan ingen sige med sikkerhed, hvem der nåede at kigge med.

Oplysningerne lignede i praksis det, mange forbinder med professionelle profiler.

Der lå flere samlinger i databasen med navne som “profiles”, “unique_profiles” og “people”.

I mindst tre af samlingerne fandt man personoplysninger som navne, mailadresser og telefonnumre.

Derudover lå der links til profiler, jobtitler, arbejdsgivere, karriereforløb, uddannelse, placeringer, kompetencer, sprog og konti på sociale medier.

En enkelt samling med navnet “unique_profiles” rummede over 732 millioner posts.

Her indgik også billed-URL’er, som kan gøre det lettere at matche en person på tværs af platforme.

Hvorfor netop denne type data kan udnyttes hårdt

Når data er nydeligt struktureret og dækker så mange profiler, bliver det let at automatisere angreb.

Svindlere kan skrive beskeder, der rammer præcist med navn, rolle og arbejdsplads.

Den slags målrettet social engineering kan efterligne interne mails, jobtilbud eller henvendelser fra ledere.

Det kan også blive brugt til CEO-svindel, hvor en angriber udgiver sig for at være en chef og presser en medarbejder til at handle hurtigt.

Det gør det ifølge Chip.de ekstra problematisk i en tid hvor AI-værktøjer kan producere store mængder troværdige phishing-beskeder på få minutter.

Selv et enkelt højt placeret mål kan være nok til, at et angreb giver gevinst.

Uklar ejer og kendt mønster bag mange læk

Databasens ejer er ikke bekræftet. Der findes dog spor, som peger mod en virksomhed, der arbejder med lead generation.

Den type firma indsamler og kvalificerer potentielle kunder for andre.

Et muligt match er et miljø, der selv reklamerer med adgang til over 700 millioner profiler.

Om data er indsamlet direkte, eller om nogen har hentet dem via scraping og derefter samlet dem, står åbent.

Sagen viser også et mønster fra mange andre læk om, at fejlkonfigurationer kan være nok.

For almindelige brugere og virksomheder betyder det, at risikoen ofte kommer senere.

Data kan blive kombineret med andre læk, og så bliver svindelforsøg både mere præcise og sværere at spotte.