Onderzoekers vinden database met profielen en info van 1,2 miljard gebruikers

Beveiligingsonderzoekers hebben een database gevonden met informatie over 1,2 miljard personen. In de database zitten geen gevoelige gegevens zoals creditcardnummers of wachtwoorden, maar wel informatie over de profielen die zij hebben. Ook staan er telefoonnummers en e-mailadressen in.

De database werd gevonden door onderzoekers Bob Diachenko en Vinny Troia. Zij zochten via Shodan naar andere informatie en stuitten als het ware per toeval op de database. Die is in totaal vier terabyte groot, en bevat meer dan vier miljard gebruikersaccounts van 1,2 miljard unieke personen. In de records zitten ook vijftig miljoen unieke telefoonnummers en 622 miljoen unieke e-mailadressen. De data stond op een Elasticsearch-server op de Google Cloud. De onderzoekers schakelden na hun vondst de FBI in. Die haalde de server kort daarna offline.

De data lijkt afkomstig van vier verschillende databases die bij elkaar zijn gezet. Drie daarvan zijn vermoedelijk afkomstig van een databedrijf uit San Francisco genaamd People Data Labs. Dat schrijft op zijn website dat het een database heeft van 1,5 miljard unieke gebruikers. Het verkoopt die gegevens aan bedrijven of adverteerders. De vierde database is hoogstwaarschijnlijk afkomstig van Oxydata. De nu uitgelekte database is niet van hen afkomstig, maar waarschijnlijk van een van hun klanten. "De eigenaar van deze server heeft waarschijnlijk een van onze producten gebruikt, in combinatie met andere producten", zegt de eigenaar van People Data Labs tegen Wired. "Zodra een klant toegang heeft tot onze data, staat die op hun servers en zijn die klanten verantwoordelijk voor de beveiliging ervan."

De grote hoeveelheden data zijn waarschijnlijk geaggregeerd van socialemediaprofielen zoals Twitter, Facebook en LinkedIn. Databedrijven doen dat soort aggregatie om die gegevens vervolgens door te verkopen aan andere bedrijven die er advertentieprofielen mee kunnen opstellen. Met zulke data enrichment kunnen kopers van de dataset veel informatie over een persoon vinden aan de hand van slechts één of twee records. Een naam of telefoonnummer kan dan leiden tot alle andere bekende info over die persoon. Volgens de onderzoekers kan de data makkelijk misbruikt worden om identiteitsfraude te plegen.

Er worden de laatste tijd wel vaker enorme databases online gevonden. Die ontstaan vaak door meerdere databronnen aan elkaar te knopen. In januari verscheen bijvoorbeeld een database online met in totaal meer dan 2,2 miljard accountnamen, inclusief hun wachtwoorden. Die waren samengevoegd uit andere grote datalekken.

IT-banen

Reacties (72)

EG Mike 22 november 2019 18:28

"Zodra een klant toegang heeft tot onze data staat die op hun servers en zijn die klanten verantwoordelijk voor de beveiliging ervan."

Dit vind ik toch wel het meest absurd van het hele verhaal. Ik hoop dat dit een schrijf/vertaal fout is, want het kan/mag toch niet zo zijn dat bij elke transactie Van zo’n omvangrijke database alle data gelijk uit handen gegeven wordt, en daarmee alle verantwoordelijkheid van de aanbieder uit handen gegeven is?

Verwijderd @EG Mike • 22 november 2019 18:56

Het is ook juridische quatsch.

De verwerkingsverantwoordelijke: de verwerkingsverantwoordelijke is steeds de eindverantwoordelijke. Dat is de organisatie die de gegevens verzamelt, bijvoorbeeld een vzw of een bedrijf. Ben je als vereniging een feitelijke vereniging, dan ligt die verantwoordelijkheid bij de leden, omdat een feitelijke vereniging geen rechtspersoon is.

Derden: derden zijn externe organisaties waar de verwerkingsverantwoordelijke gegevens aan zou doorgeven, bijvoorbeeld de overheid, een verzekeringsmaatschappij of een sponsor. Hiervoor is toestemming nodig van de betrokkene, over wiens persoonsgegevens het gaat, tenzij de verwerkingsverantwoordelijke hiervoor al een toestemming heeft, omdat het doorgeven van gegevens aan bijvoorbeeld een sponsor, al was opgenomen in het originele akkoord met de betrokkenen en hij dus diens toestemming al heeft. Ook de host van je website of een mailprogramma zoals mailchimp is een derde met wie je een overeenkomst hebt.

https://breedbeeld.org/in...r/wie-is-verantwoordelijk

M.a.w. de verzamelaar van de gegevens is eindverantwoordelijke. Altijd.

Al die datajongens die steeds iets anders beweren hebben een kop vol quatsch bij. Ze weten dat ook goed genoeg. En ik hoop dat er gevangenisstraffen voor hen komen.

De wet is ook niet gecompliceerd. De datajongens die steeds beweren dat de wet wel gecompliceerd is, verkopen nog meer quatsch. De wet is eenvoudig: als jij gegevens verzamelde en als jij gegevens verzamelt, dan ben jij eindverantwoordelijke.

Dat jij die gegevens aan een derde hebt doorgegeven wil niet zeggen dat je niet meer verantwoordelijk bent. Dat ben je wel. Dat ben je altijd. Je bent altijd eindverantwoordelijke.

Dat vinden de datajongens niet leuk. Dat is duidelijk. Daarom doen ze alsof de wet gecompliceerd is. Maar de wet is niet gecompliceerd. De wet is wat de datajongens niet leuk vinden. Maar het doet er niet toe wat zij leuk vinden. Het doet er toe dat er zoiets is dat recht op privacy noemt. Dat dat recht een mensenrecht is. En dat de datajongens dat recht moeten respecteren en daar zorg voor moeten dragen. Inderdaad met het mes op hun keel. En niet anders.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:51]

MeMoRy @Verwijderd • 22 november 2019 19:17

Maar het is te begrijpen waarom ze beweren dat ze er niet verantwoordelijk voor zijn. Hun banen, vermogen, etc zit eraan verbonden... dan begrijp ik wel dat ze met "alternative facts" komen. Gelukkig hebben we tegenwoordig politie en justitie die daar niet intrapt.

Verwijderd @MeMoRy • 22 november 2019 19:24

Wanneer alle datajongens zich aan dé wet houden, dan hebben alle datajongens het exact even moeilijk.

Dat noemt een level playing field en zorgt voor eerlijke handel.

Zich niet houden aan dé wet om een voordeel te halen t.o.v. uw concurrenten betekent dat je aan concurrentievervalsing doet en dit is een (redelijk zware) inbreuk op de handelswetgeving.

Het is dus niet te begrijpen dat ze het beweren om hun banen, hun vermogen, hun winsten veilig te stellen. Want dat gaat ten koste van hun concurrenten hun banen, winsten, vermogen en mogelijkheid om aan eerlijke handel te doen.

We moeten als samenleving geen enkele medelijden hebben met bedrijven en hun medewerkers die aan oneerlijke handel doen. We moeten hun zaakvoerders en toplui straffen met zware gevangenisstraffen en het levenslange verbod om nog een bedrijf te hebben of leiden. Als dat gepaard gaat met het faillisement van het bedrijf en het ontslag van alle medewerkers, dan is dat misschien maar goed ook.

Die medewerkers horen trouwens wettelijk verplicht te worden om hun werkgever aan de galg te praten.

Dat zorgt ervoor dat er geen enkele databoer het in de gekke kop haalt om de wet te overtreden.

magician2000 @Verwijderd • 22 november 2019 21:48

De enige manier om dit soort zaken te voorkomen is (vermoedelijk, voor zover ik zie) een totaal verbod op het verzamelen van persoonlijke data.

Daarnaast zou het helpen wanneer degene wiens persoonsgegevens het zijn bij ieder gebruik hiervan toestemming moet geven. Haast onwerkelijk, maar liever dat soort "spam" berichten dan deze situaties.

Uiteraard dien je na te denken over uitzonderingen binnen o.a. overheid (belastingdienst) die dan in ieder geval gegevens mogen verzamelen voor zover nodig. Maar dat valt dan min of meer onder GDPR.

Ook moeten reeds bestaande bedrijven aangepakt worden op dit vlak. Ook al betekend dat dat er veel bedrijven opgeheven c.q. geminimaliseerd zullen gaan worden.

Een goede verankering in de wet voor schadevergoedingen bij lekken (zeker op een onverschillige manier zoals het bedrijf er hiermee omgaat) zou ook een goede extra oplossing zijn.

Verwijderd @magician2000 • 22 november 2019 23:24

Ik denk dat een door de overheid gecentraliseerd beheerde registratie van welke gegevens men bijhoudt en van wie, gecombineerd met een door de burger te verlenen wel of niet toestemming (per soort gegeven, per organizatie); de technische mogelijkheid moet aanbieden voor bedrijven om per burger te weten of ze een gegeven over die burger mogen beheren of moeten verwijderen.

Bijgevolg kunnen ze op die manier in regel zijn.

Momenteel kan ik als Belg op die manier al oa. mijn belastingen en een aantal aangiftes nodig voor mijn vennootschap regelen aan de hand van mijn eID identiteitskaart en een eID kaartlezer. Wat men nodig heeft is een vastgelegde ontology (dit is zoals een SQL schema) over metadata. Een door de overheid uitgebaatte website waarop burgers kunnen inloggen om aan te geven voor welke organisatie ze welke metadata (volgens die ontology) toestaan. Waarbij de website, en integraties hiermee, ook voor organisaties mogelijk zijn. Waarmee die organizaties per burger registreren naar de overheid toe welke metadata-velden (volgens die ontology) ze beheren voor die burger.

Geen toestemming dan is de wet dat het gegeven over die burger door de organisatie moet verwijderd worden. Wel toestemming, prima dan. En zo verder.

Dit is technisch haalbaar en niet eens moeilijk.

Er hoeft geen totaalverbod te zijn. Daar pleit ik ook niet voor. Er zijn nuttige toepassingen die voortvloeien uit het verzamelen van data. Die moeten niet dood of vertrappeld worden. Maar de data-uitstoot moet gereguleerd worden.

MeMoRy @Verwijderd • 23 november 2019 09:24

De overheid? In Nederland gaan overheid en ICT niet goed samen. En de administratie wordt gigantisch: winkels, verenigingen, websites. Ook in administratie is de overheid niet zo goed. Kijk maar naar de belastingdienst of de toegeslagen.

MeMoRy @magician2000 • 23 november 2019 09:19

Behalve dat dat praktisch dus niet te doen is. Als je iets besteld dan moet de verkoper toch weten waar hij het moet sturen. Die heeft dan jouw persoonlijke data en tijdje nodig. Of de autogarage wil toch wel iets weten van de onderhoudshistorie.
Je zou alle data dan zelf weer op papier moeten gaan beheren. Dat willen mensen helemaal niet meer.

marapuru @magician2000 • 23 november 2019 15:41

Ook moeten reeds bestaande bedrijven aangepakt worden op dit vlak. Ook al betekend dat dat er veel bedrijven opgeheven c.q. geminimaliseerd zullen gaan worden.

Dit lijkt mij geweldig. Ook voor andere zaken als verzekeringsfraude, belastingfraude en andere vormen van maatschappij oplichterij. Als eerlijke burger trek je uiteindelijk (te) vaak aan het kortste eind. Terwijl (kleinschalige) fraudeurs en oplichters kunnen blijven doen wat zij willen.

MeMoRy @Verwijderd • 23 november 2019 09:11

Ja natuurlijk is dat zo, maar we leven niet in een ideale wereld. Dat is het nooit geweest en zal het nooit worden.
Ik zou me ook niet druk willen hoeven maken over het op slot doen van mijn voordeur, maar ervaring zegt dat het toch nodig is.

ajolla @Verwijderd • 23 november 2019 01:19

Welke wet is hier van toepassing, de Nederlandse of de Amerikaanse?

hackerhater @ajolla • 23 november 2019 09:04

Gezien er zeer zeker info van europeanen tussen zit ook de europese wetgeving

ajolla @hackerhater • 23 november 2019 09:15

Dat zou mooi zijn want dan is er in principe iets aan te doen.

Killjoy @Verwijderd • 22 november 2019 19:44

Het gaat hier om Amerikaanse privacywetgeving. Dus je kunt niet (zoals je nu doet) toetsen aan een interpretatie van de AVG.

Degene die de tekst op de site die jij quote heeft geschreven, heeft trouwens een onvolledig begrip van het begrip verwerkingsverantwoordelijke. Bij verstrekking aan een derde ontstaat een nieuwe verwerking waarvoor de ontvanger verantwoordelijk is. De verstrekker heeft dan nog wel enkele verplichtingen. Maar de verstrekker is niet verantwoordelijk voor het doen en laten van de ontvangende derde partij.

Verwijderd @Killjoy • 22 november 2019 19:47

Het gaat hier om Amerikaanse privacywetgeving. Dus je kunt niet (zoals je nu doet) toetsen aan een interpretatie van de AVG.

Staan er bij die 1,2 miljard gebruikers geen gegevens van EU burgers dan? Doen de betrokken partijen geen handel in de EU?

Killjoy @Verwijderd • 22 november 2019 19:59

Dat valt niet af te leiden uit het artikel. Verder betekent dat niet direct dat de AVG van toepassing is. Dat is afhankelijk van de vraag of de verwerking plaatsvond in de EU of gericht was op EU-onderdanen. Zo nee, dan zijn de Europese toezichthouders niet meer dan een geïnteresseerde partij. Ze hebben dan geen jurisdictie.

unfold @Killjoy • 22 november 2019 23:38

Op hun website kan je prima terugvinden dat ze data over 8 miljoen Nederlanders hebben.

RRRobert @unfold • 25 november 2019 14:02

ik heb zojuist een melding van Firefox Monitor ontvangen, dat ik er ook tussen sta. En al zoekend naar antwoorden kwam ik bij deze nieuwsposting en thread uit.

Aan de gecompromitteerde data die is genoemd kon ik eenvoudig achterhalen welke bron dit moet zijn geweest. Niet best

Er zitten weliswaar geen wachtwoorden bij maar wel de nodige personalia - in potentie loop ik dus het risico op identiteitsfraude...

Pikoe @Verwijderd • 22 november 2019 20:13

De uitvoering is natuurlijk wel onmogelijk. Ik heb me uitgeschreven bij de KvK omdat ik mijn bedrijf niet gebruikte en ik geen zin meer had in telefoontjes, toch wordt ik nog 1x per week gebeld omdat de KvK dat niet doorgeeft aan alle bedrijven waar ze mijn gegevens aan hebben verkocht. En mijn terugtrekking van toestemming om mij te bellen gaat die bedrijven natuurlijk nooit bereiken. Betekent dat dan dat de KvK een boete moet krijgen?

Verwijderd @Verwijderd • 22 november 2019 19:40

De GDPR is van toepassing als je handel doet in de EU. De locatie van de gegevens is niet de factor die er toe doet.

De wetgeving gaat in vanaf mei 2018 en geldt voor iedereen die goederen of diensten aanbiedt in de Europese Unie. Vanaf dan moet je als bedrijf dus kunnen aantonen dat je voldoet aan de nieuwe wet. Dit gaat zowel over de manier van verzamelen van persoonlijke gegevens als over het opslaan in datacenters of in een cloud buiten de EU. Voor de meeste bedrijven is dit een enorme aanpassing.

Bron, de GDPR in mensentaal.

Dat wist jij natuurlijk, falconhunter. Jij reageert wel vaker op deze manier over de GDPR. Maar iedere keer ongeveer bleek je ongelijk te hebben. Het wordt een beetje een traditie hier.

ps. Ik verwijs naar de GDPR in mensentaal zodat je het misschien eens wel zou begrijpen. Ik wil ook gerust de echte wetteksten tonen. Daar staat het ook in. Uiteraard.

rjmno1 @EG Mike • 23 november 2019 12:36

Ik vind het heel erg slordig voor een bedrijf zoals google om deze informatie op een server te zetten.
Er staat dus informatie in wie wat voor een email adres heeft.Heel erg slordig van google vind ik.

Verwijderd 22 november 2019 18:20

De data in https://haveibeenpwned.com/ zetten is natuurlijk niet nodig aangezien er geen wachtwoorden in zitten, maar ben wel benieuwd of ik er bv in voor kom ..

Indir @Verwijderd • 22 november 2019 23:44

Ik kreeg net een e-mail van HIBP met een melding over deze specifieke datalek. Meer info hier.

Nu weet ik tenminste dat ook mijn informatie in de gelekte dataset stond. Dus zo een lek kan ook juist benut worden om mensen te informeren en bewust te maken waar hun gegevens terecht zijn gekomen.

[Reactie gewijzigd door Indir op 22 juli 2024 13:51]

3raser @Indir • 25 november 2019 13:31

Ik kreeg ook een mail. Een heel oud e-mailadres van mij zat in dit lek. Dat adres gebruik ik al jaren niet meer en wordt simpelweg geforward naar een nieuwer adres. Ik vraag me dan ook af hoe de eigenaar van de database aan deze informatie komt. Dit moet een verzameling zijn van alles wat ze ooit hebben vastgelegd. Typische vorm van data farming lijkt me.

NMN1665 @Verwijderd • 22 november 2019 18:58

Ik met een e-mail. Maar dan voor spellen waar ik geen account bij heb en nog nooit van gehoord heb. Wel interessant maar ik twijfel aan de waarheid.

GeoBeo @NMN1665 • 22 november 2019 19:38

Ik met een e-mail. Maar dan voor spellen waar ik geen account bij heb en nog nooit van gehoord heb. Wel interessant maar ik twijfel aan de waarheid.

Degene die je data lekt is niet altijd dezelfde partij als degene die je data verzameld he.

Zo is mijn email adres gelekt aan:

Apollo: In July 2018, the sales engagement startup Apollo left a database containing billions of data points publicly exposed without a password. The data was discovered by security researcher Vinny Troia who subsequently sent a subset of the data containing 126 million unique email addresses to Have I Been Pwned. The data left exposed by Apollo was used in their "revenue acceleration platform" and included personal information such as names and email addresses as well as professional information including places of employment, the roles people hold and where they're located. Apollo stressed that the exposed data did not include sensitive information such as passwords, social security numbers or financial data. The Apollo website has a contact form for those looking to get in touch with the organisation.

Compromised data: Email addresses, Employers, Geographic locations, Job titles, Names, Phone numbers, Salutations, Social media profiles

Ik heb mij daar ook nog nooit aangemeld.

Dikke kans dat die partij het (via via) gewoon bij de KvK opgekocht heeft, want het gaat om mijn zakelijke email adres dat alleen de KvK heeft.

Je kunt er dus rustig vanuit gaan dat ook bij dit lek iedereen die ooit een KvK registratie gehad heeft in die database staat. Om maar 1 actief lekkende partij te noemen.

NMN1665 @GeoBeo • 22 november 2019 20:43

Ja ik heb inderdaad even gekeken en het moet wel zo iets zijn. Ik speel geen browser games en die andere sites was een oude file share. En ik gebruik dat account en adres amper. Toch maar even een ww aanpassing.

beerse @Verwijderd • 22 november 2019 23:52

Met mijn 'pwned' account krijg ik de volgende tekst:
========
Data Enrichment Exposure From PDL Customer logo

Data Enrichment Exposure From PDL Customer: In October 2019, security researchers Vinny Troia and Bob Diachenko identified an unprotected Elasticsearch server holding 1.2 billion records of personal data. The exposed data included an index indicating it was sourced from data enrichment company People Data Labs (PDL) and contained 622 million unique email addresses. The server was not owned by PDL and it's believed a customer failed to properly secure the database. Exposed information included email addresses, phone numbers, social media profiles and job history data.

Compromised data: Email addresses, Employers, Geographic locations, Job titles, Names, Phone numbers, Social media profiles
========

rdoorn 22 november 2019 20:16

Goh, ik ben misschien ouderwets. Maar als ik de data zie dan denk ik, Ze hebben een telefoonboek gevonden.
Die ouderwetse papieren telefoonboeken stond ongeveer dezelfde info in. Soms zelfs je beroep, of bedrijf.
Dus echt schrikken is dit niet. Is dit bericht niet meer clickbait voor één of ander bedrijf?

Verwijderd @rdoorn • 22 november 2019 22:35

Behalve dat ik me kon uitschrijven uit het telefoonboek. Dat kan ik hier niet.

Verwijderd @Verwijderd • 22 november 2019 22:52

Ik kon bij het aangaan van een contract met de telecomoperator en het in bedrijf nemen van een telefoonnummer meteen en onmiddellijk kiezen om niet, en dus daarom nooit, opgenomen te worden in het telefoonboek.

Had ik dat toen zo gedaan, kwam ik in geen enkel telefoonboek of telefoongids-cd-rom voor.

De dataverzamelaars houden op geen enkele manier rekening met dit soort wel-of-niet toestemming.

Bv. Stel dat ik mijn telefoonnummer wel op mijn visitekaartjes wilde maar niet, nooit, in het telefoonboek dan had ik het niet wenselijk gevonden dat er een alternatief telefoonboek zou komen dat telefoonnummers heeft die werden verzameld door mensen die visitekaartjes verzamelen. Ik zou die mensen en de organisatie achter hun alternatieve telefoonboek hebben aangeklaagd en vermoedelijk zou de rechtbank de publicatie van dat alternatieve telefoonboek op basis van de aanwezigheid van alleen al mijn telefoonnummer hebben verboden.

Waarom precies vinden moderne Internet-gegevensverzamelaars dat de door hun verzamelde gegevens niet aan precies dezelfde soort regels en wetten hoort te voldoen?

Wanneer gaf ik die Internet-gegevensverzamelaars toestemming om mijn online visitekaartje a) te verzamelen (dat tot daar toe) en b) te herpubliceren in een alternatief telefoonboek? Ik denk dat ik nooit die toestemming heb gegeven. Ik weet zeker dat ik nooit die toestemming heb gegeven.

Waarom is de claim van de Internet-gegevensverzamelaars dan dat ze het toch zouden mogen?

Ik denk dat ze het niet mogen. Dat ze het nooit hebben gemogen. En dat de GDPR bevestigt dat ze het niet mogen wanneer ze mijn expliciete toestemming niet hebben.

Ik denk dat er gevangenisstraffen moeten komen voor zij die het onwettelijk toch doen.

FireStarter 22 november 2019 19:49

Moet je eens voorstellen dat je over een jaar of 10 een tar file hebt rond circuleren van 9 TB groot met persoonlijke data van alle mensen op de aardbol.

Ik denk dat het gaat gebeuren..

ajolla @FireStarter • 23 november 2019 01:22

Met foto's en biometrische kenmerken erin zal 'ie nog wel wat groter worden. $_/-\o_$

Droxal 23 november 2019 09:40

Jaren geleden had ik eens gehoord dat je iets voor uw e-mail adres kon zetten zodat je wist wie uw e-mail lekte. Weet iemand nog wat precies?
Bv: mijnnaam@outlook.com en dan kan je met een teken: (tweakers)mijnnaam@outlook.com
Dit zou dan ook gewoon naar uw e-mail adres toekomen. mijnnaam@outlook.com omdat de server (tweakers) weg zou laten vallen.

MrAngry @Droxal • 23 november 2019 11:18

Als je een gmail adres hebt dan kan dat door een + achter je email te zetten. Dus [email]+amazon@gmail.com komt gewoon aan op [email]@gmail.com. Dus als [email]+amazon@gmail.com lekt dan weet je waar het ontstaan is. Vroeger was het idee dat je dan aan je ontvangend mail adres kon zien welke partij er was begonnen met spammen, maar spam is niet echt een probleem meer en emails worden nu vaker gebruikt om data aan elkaar te knopen en wachtwoorden te stelen voor fraude, dus dan werkt dit trucje wat minder goed (ik ga er even vanuit dat iemand die dit doet met een simpele regex alles tussen de + en de @ verwijderd).

Droxal @MrAngry • 23 november 2019 12:19

Dit bedoelde ik bedankt voor de reactie !

Katala 22 november 2019 18:19

Dat zijn er dusdanig veel dat je er eigenlijk wel van uit kan gaan dat jouw data hier ook tussen staat. Niet iedereen heeft tenslotte internet!

PilatuS @Katala • 22 november 2019 18:54

Niet iedereen nee, maar wel ongeveer de helft. Even snel gezocht en het getal zou zo'n beetje 3.5 miljard moeten zijn. Dat maakt de kans ongeveer 1 op 3 dat jouw data er tussen staat. De kans valt dus nog wel mee gezien het enorme aantal mensen met internetoegang.

BlaDeKke @PilatuS • 22 november 2019 19:07

We zijn nog maar net begonnen met data verzamelen en technieken voor big data staan in hun kinderschoenen. Dit valt in mijn ogen niet mee.

PilatuS @BlaDeKke • 22 november 2019 19:11

Ik zeg niet dat het mee valt, ik reageer op iemand die zegt dat de kans vrijwel 100% is dat jouw data hier ook tussen staat. Statistisch gezien is die kans ongeveer 1 op 3 wat compleet anders is dan: dat je er eigenlijk wel van uit kan gaan dat jouw data hier ook tussen staat.

GnrlSchnavy @PilatuS • 23 november 2019 00:38

Dit is natuurlijk niet correct, hoeveel accounts heb jij op het wereld weide web? Volgens mij heeft een gemiddeld persoon er tientallen, als niet meer dan honderd. Geen 1 op 3 'kans' dus.

PilatuS @GnrlSchnavy • 23 november 2019 00:48

Prima, want dat maakt het punt wat ik maak alleen maar sterker. Indien er personen dubbel in zitten ga je van 1:3 naar 1:4 of zelfs nog verder. Dus niet, waar ik dus op reageer, dat dat de kans vrijwel zeker is dat je bij deze lek zit.

Verwijderd @PilatuS • 22 november 2019 19:37

Niet iedereen nee, maar wel ongeveer de helft.

Nee. dit soort combinatie databases bevatten vaak decennia oude data. Dus jou Hyves account staat er vast wel in. Ik vind in dit soort databases vaak 5 of 6 accounts die aan mij behoren. Vrijwel nooit met data die op maar enige mate nuttig is.

Geen nieuws... gewoon doorlopen. Volgende week is er weer een andere gek die er een miljoen mensen aan toe kan voegen en dan is het vast weer nieuws.

XhizorBE 22 november 2019 20:07

https://haveibeenpwned.com/ handige site om te kijken of er ergens data van jou in een database staat van criminelen. Houdt al de gegevens bij van sites die gehacked geweest zijn, waar jou email op staat

Gouden regel gewoon toepassen op het internet. Nooit dezelfde wachtwoorden en email gebruiken. En vooral nooit bankgegevens bewaren, die telkens verwijderen na je iets aangekocht hebt

Is eigenlijk gewoon gezond verstand gebruiken en niet te laks zijn. Is gewoon kwestie van tijd dat mijn adres, telefoonnummer, naam in één of andere database gaat staan ven criminelen. Dat weet 'k nu al, als dat al het geval niet is

Beklaag het me al dat 'k me ngeschreven heb op facebook jaren terug.

ajolla @XhizorBE • 23 november 2019 01:24

Toch niet onder je eigen naam bij Facebook ingeschreven hoop ik?

XhizorBE @ajolla • 23 november 2019 08:12

Ja natuurlijk heb 'k dat gedaan, eigenlijk in ver iedere database gebruikte 'k altijd mijn eigen naam. Toen had 'k ook nog niet de juiste kennis wat de gevaren daarvan waren. Maar facebook is nog erger, daar hebben ze nog eens foto's van je en meteen ook je locatie. Echt wel effe dom geweest om me daar in te schrijven

Men zou beter ook studenten die nu op school zitten zo'n lessen aanbieden, hoe het best om gaan met persoonlijke data. In plaats van al die godsdienst zever en dergelijke

ajolla @XhizorBE • 23 november 2019 09:13

Jaren geleden een account bij Facebook aangemaakt. Onder een andere naam, via Tor en zeker geen foto's.

tedades @ajolla • 23 november 2019 13:33

Volgens mij werkt Facebook ook niet op basis van jezelf maar door relaties met anderen.
Als een groep mensen is waarvan een deel data online plaatst dan kun je de gegevens van de andere redelijk zelf aanvullen.
Bijvoorbeeld: je moeder plaatst een foto van het gezin online.

ajolla @tedades • 23 november 2019 21:29

Ja, helaas heb je helemaal gelijk.

tedades @ajolla • 24 november 2019 00:33

Ik baal er eigenlijk ook wel van hoe effectief deze methode is. Laat een persoon uit je vriendengroep zijn contactlijst met Facebook delen, laat iemand een foto van een feest uploaden en laat hem iedereen van de foto taggen, en je bent de sjaak. Ze hoeven niet iedereen op Facebook te hebben en ze hoeven die informatie ook maar 1 keer te ontvangen.

Een gemiddelde Amerikaan kent 600 mensen*. Als je dan een persoon hebt die (iedereen in zijn contactlijst heeft staan) zijn gegevens met Facebook gaat delen hebben ze ook de data van 599 andere mensen ontvangen. Ook al delen die 599 mensen bewust nooit gegevens met Facebook of op internet.
Die data wordt dan weer permanent opgeslagen en met een data lek wordt die data ook netjes bij andere lijsten toegevoegd. Van de 7.7 miljard mensen op aarde gebruiken er ongeveer 2.8 miljard Facebook services, dat lijkt me ruim genoeg om over iedereen wat te weten.
Op haveibeenpwned staan al 9.1 miljard accounts. Het lijkt me dus aannemelijk dat er al lijsten bestaan die de contactgegevens (en mogelijk meer) van praktisch iedereen op aarde bevatten.

*bron: https://www.nytimes.com/2...nows-how-many-people.html

beerse 22 november 2019 18:25

Met dat er al bekend is waar de gegevens ooit vandaan zijn gekomen, zijn die (oxydata en people data lab) al ontsloten via de 'sta ik er in' sites zoals https://haveibeenpwned.com/?

Of is ook dat van oxydata en people data lab maar giswerk en is dit gewoon weer een groot data lek?

Update, met mijn pwned account:
========
Data Enrichment Exposure From PDL Customer logo

Data Enrichment Exposure From PDL Customer: In October 2019, security researchers Vinny Troia and Bob Diachenko identified an unprotected Elasticsearch server holding 1.2 billion records of personal data. The exposed data included an index indicating it was sourced from data enrichment company People Data Labs (PDL) and contained 622 million unique email addresses. The server was not owned by PDL and it's believed a customer failed to properly secure the database. Exposed information included email addresses, phone numbers, social media profiles and job history data.

Compromised data: Email addresses, Employers, Geographic locations, Job titles, Names, Phone numbers, Social media profiles
========

Daarmee trek ik voorzichtig een paar conclusies:
- dit soort data sets groeien.
- dit soort data sets worden gecombineerd.
- sta je er een keer in, dan blijft dat ook zo.

[Reactie gewijzigd door beerse op 22 juli 2024 13:51]

KabouterSuper 22 november 2019 18:59

Van de bron:
* Over 1.5 Billion unique people, including close to 260 million in the US.
* Over 1 billion personal email addresses. Work email for 70%+ decision makers in the US, UK, and Canada.
* Over 420 million Linkedin urls
* Over 1 billion facebook urls and ids.
* 400 million+ phone numbers. 200 million+ US-based valid cell phone numbers.

Kortom, niet alleen US/Canada, maar ook daarbuiten.

[Reactie gewijzigd door KabouterSuper op 22 juli 2024 13:51]

Rabb 22 november 2019 19:17

We kunnen er tegenwoordig wel van uit gaan dat onze informatie gewoon online/te koop staat.
Of je nu mee doet met social media of dingen als Spotify, ze kunnen toch wel aan je data komen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: