Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Утечка конфиденциальной информации из системы распознавания лиц
В течение нескольких месяцев в открытом доступе находилась огромная база с конфиденциальной информацией миллионов граждан Китая. Разработчики ПО для распознавания лиц забыли защитить базу с конфиденциальной информацией.
Объем скомпрометированной базы впечатляет – она постоянно пополнялась и на пике наблюдения содержала более 800 млн записей. Таким образом, это одна из крупнейших утечек в 2022 году. Более масштабный инцидент произошел в июне, когда из полиции Шанхая утекли 1 млрд записей персональных данных.
На этот раз скомпрометированные данные принадлежат китайской компании Xinai Electronics, которая разрабатывает системы доступа для людей и автотранспорта. В частности, решения на базе ее ПО используются на рабочих местах, в школах, на стройплощадках и в паркингах. Благодаря развертыванию сети камер Xinai накопила многие миллионы биометрических данных и фотографий номерных знаков машин. На веб-сайте компании утверждается, что все эти данные надежно хранятся на ее серверах.
Незащищенную базу на облачном сервере Alibaba обнаружил исследователь кибербезопасности Анураг Сен (Anurag Sen). По словам специалиста, хранилище содержит огромный объем информации – сотни миллионов записей, размещенных на нескольких доменах, принадлежащих Xinai.
В частности, база содержала ссылки на фотографии в высоком разрешении, включая изображения строителей, проходящих на стройплощадки, и посетителей офисов, проходящих регистрацию на входе. Также в базе данных можно было найти такие персональные данные, как имена, возраст и пол. Кроме того, в хранилище были собраны такие специфические персональные данные, как ID-номера резидентов. Помимо этого, в хранилище было загружено множество номерных знаком транспортных средств, собранные камерами Xinai в гаражных комплексах, на парковках, на подъездных путях и т.д.
Анураг Сен попросил журналистов Techcrunch помочь ему связаться с представителями Xinai Electronics, чтобы уведомить их об утечке информации. Отправив запросы по нескольким адресам электронной почты компании, репортеры не получили ответа. Но через некоторое время база исчезла из открытого доступа.
Совершенно точно, Анураг Сен стал не единственным, кто обнаружил открытую базу данных Xinai. Журналисты нашли в хранилище недатированную записку с требованием о выкупе. Неизвестный вымогатель утверждал, что он украл содержимое базы и готов восстановить данные в обмен на несколько сотен долларов в криптовалюте. Судя по адресу блокчейн-кошелька, оставленную злоумышленником, никакие средства на него не поступали.