Meer dan 90 miljoen Franse records blootgelegd: mysterieuze dataverzamelaar laat instanties open

Bron: https://cybernews.com/security/french-records-exposed-by-mysterious-data-hoarder/

Een enorm lek heeft 95 miljoen records van Franse burgers blootgelegd. De gecompromitteerde telefoonnummers, e-mailadressen en gedeeltelijke betalingsinformatie maken hen kwetsbaar voor gerichte cyberaanvallen.

Een onbekende actor verzamelt persoonlijke informatie uit Franse datalekken en verzamelt deze in één database.

Het onderzoeksteam van Cybernews ontdekte samen met Bob Dyachenko, een cybersecurity-onderzoeker en eigenaar van SecurityDiscovery.com, een open Elasticsearch-server met een schat aan informatie voor cybercriminelen.

Elasticsearch is een tool voor data-analyse en zoeken in bijna realtime. Deze instantie, toegankelijk voor iedereen zonder autorisatie, viel op door een enorme index met een mysterieuze naam, “vip-v3”. Het bevatte 95.350.331 documenten van ten minste 17 datalekken en had een totale grootte van 30,1 GB.

Ter vergelijking: Frankrijk heeft 67,79 miljoen inwoners.

“Deze database is bedoeld om informatie te verzamelen uit meerdere datalekken in verband met Frankrijk en omvat zowel eerder bekende als onbekende lekken”, aldus de onderzoekers.

In de meeste gevallen bestonden de blootgestelde gegevens uit volledige namen, telefoonnummers, adressen, e-mailadressen, IP-adressen, gedeeltelijke betalingsgegevens en nog veel meer gegevenspunten.

“Waarschijnlijk heeft een dreigingsactor een reeks gegevens verzameld van bekende bedrijven en inbreuken op diensten. De blootgestelde bestanden bestrijken telecommunicatie, e-commerce, sociale media en andere sectoren, wat de wijdverbreide aard van een inbreuk weerspiegelt”, aldus de onderzoekers.

De eigenaar van deze database is onduidelijk. Het cluster lijkt onbedoeld te zijn blootgesteld door een verkeerde configuratie of fout.

“De enorme hoeveelheid gegevens en de focus op één land dragen bij aan de ernst van de blootstelling. Het treft mogelijk miljoenen personen en bedrijven in Frankrijk en kan leiden tot een hoger risico op identiteitsdiefstal, fraude en andere kwaadaardige activiteiten”, aldus onderzoekers van Cybernews.

Het cluster wordt gehost door een klein Frans hostingbedrijf. Dit geeft aan dat de Europese regelgeving voor gegevensbescherming (AVG) van toepassing zou moeten zijn. De Europese wetgeving vereist expliciete toestemming van de gebruiker voor het verzamelen en opslaan van persoonlijke gegevens.

Wat zat er in het lek?

Het lek bestaat uit ten minste 17 delen, die elk overeenkomen met een afzonderlijk waarschijnlijk data-incident. Hoewel de blootgestelde bestandsnamen suggereren dat er mogelijk bedrijven bij betrokken zijn, kan Cybernews de authenticiteit van de data niet verifiëren en bevestigen dat deze incidenten hebben plaatsgevonden.

De 17 bestanden in de gegevenskist waren als volgt:

• Lyca scrappe.txt. Verwijst waarschijnlijk naar geschraapte gegevens van Lycamobile, een mobiele netwerkoperator.
• Pandabuy-Email.txt. Lijkt gerelateerd te zijn aan Pandabuy, mogelijk een inbreuk met betrekking tot e-mailgegevens van klanten.
• darty.com.txt. Kan verwijzen naar een inbreuk met betrekking tot Darty, een Franse elektronicaretailer.
• discord_1_2024.txt. Geeft een mogelijke inbreuk of scrape aan met betrekking tot Discord, een populair communicatieplatform.
• dvm.txt. Het specifieke bedrijf is onduidelijk. Het kan betrekking hebben op een service of entiteit met de initialen DVM.
• electro-depot.fr.txt. Wijst op een vermeende inbreuk met betrekking tot Electro Depot, een Franse elektronica- en apparatenretailer.
• db_vandb.txt. Waarschijnlijk gerelateerd aan V and B (Vins & Bières), een Franse retailer van wijn en bier.
• Snapchat SQL.txt. Suggereert een inbreuk met betrekking tot Snapchat, met name gegevens die zijn geëxtraheerd via SQL-query’s.
• frsfr.txt. Onduidelijk, kan betrekking hebben op een Franse dienst met de afkorting “FRS.”
• go-sport.com-export.txt. Verwijst naar Go Sport, een Franse retailer van sportartikelen.
• intersport-scrapped.fr.txt. Geeft geschraapte gegevens aan van Intersport, een andere sportartikelenretailer in Frankrijk.
• ldlc.txt. Wijst op een vermeend compromis met betrekking tot LDLC, een Franse online elektronicaverkoper.
• corsegsm.com.txt. Gerelateerd aan Corse GSM, een Corsicaanse mobiele operator.
• pinterest.txt. Verwijst naar Pinterest, het sociale mediaplatform.
• minecraft.fr-forum.txt. Geeft een compromis aan waarbij naar verluidt een Frans Minecraft-forum betrokken is.
• sfr.fr.txt: lijkt verband te houden met een inbreuk op SFR, een groot Frans telecommunicatiebedrijf.
• shadow.tech.txt. Verwijst naar Shadow, een cloud computing-service.

Daarnaast ontdekten onderzoekers op een gerelateerd IP-adres ook andere bestanden die waren blootgesteld, waarschijnlijk gerelateerd aan andere cyberincidenten.

• sport2000_a.txt. De informatie die werd blootgelegd, verwijst waarschijnlijk naar Sport 2000, een retailer van sportartikelen.
• wakanim.txt. Geeft een lek aan van Wakanim, een anime streaming service.
• rinaorc_authme.txt. Geeft aan dat de gegevens afkomstig zijn van Rinaorc, een Minecraft-server of -service die de AuthMe-plug-in gebruikt voor authenticatie.

“Een verscheidenheid aan bedrijven uit verschillende sectoren weerspiegelt de wijdverbreide aard van de inbreuk”, aldus de onderzoekers.

Gevoelige informatie kan leiden tot potentiële schade

Het is zeer onwaarschijnlijk dat een legitieme gegevensverwerker die binnen de EU actief is, de gegevens onbeschermd achterlaat.

“Een dergelijke hoeveelheid data kan niet legaal worden verzameld, verkregen en gecombineerd zonder toestemming van de gebruiker, gezien de regelgeving in de EU. En de data werd blootgesteld zonder enige veiligheidsmaatregelen. Dit suggereert dat de eigenaar van de database, in duidelijke minachting van de AVG, kwaadaardige bedoelingen kan hebben”, aldus de onderzoekers.

Omdat de database al langere tijd openbaar toegankelijk is, is de kans groot dat andere kwaadwillenden de gegevens al hebben gekopieerd en deze mogelijk gebruiken voor criminele activiteiten.

De directe en zorgwekkende risico’s voor de blootgestelde personen omvatten het doelwit worden van identiteitsdiefstal en fraude. E-mailadressen, gecombineerd met andere gevoelige details, kunnen worden gebruikt om gepersonaliseerde spearphishing-aanvallen te maken.

Kwaadwillende actoren kunnen de gegevens gebruiken om accounts te kapen of zich voor te doen als individuen bij social engineering-aanvallen.

“Bedrijven die bij dit soort inbreuken betrokken zijn, kunnen reputatieschade oplopen, vooral als de inbreuken eerder niet bekend zijn gemaakt”, waarschuwen de onderzoekers.

Zij adviseren bedrijven om hun cybersecurity te versterken door de volgende maatregelen te implementeren:

• Zorg voor veilige gegevensopslag: pas sterke authenticatie en toegangscontroles toe.
• Voer regelmatig beveiligingsaudits uit: controleer de cloudinfrastructuur om kwetsbaarheden te identificeren en te beperken.
• Openbaarmaking en communicatie: Stel de getroffen bedrijven en personen onmiddellijk op de hoogte van de blootstelling en geef richtlijnen voor het beschermen van hun gegevens.
• Beperk het verzamelen van gegevens: verzamel alleen de gegevens die absoluut noodzakelijk zijn voor de bedrijfsvoering.
• Bekijk de methoden voor het samenvoegen van gegevens: beoordeel de beveiliging en noodzaak van het samenvoegen van grote datasets opnieuw.
• Zorg ervoor dat u voldoet aan de AVG en andere relevante regelgeving inzake gegevensbescherming.
• Implementeer mechanismen voor het detecteren van inbreuken: detecteer ongeautoriseerde toegang of verkeerde configuraties in realtime.

Bijgewerkt op 27 september [08:30 uur GMT] : Door een omissie in ons rapportageproces werd dit artikel voortijdig gepubliceerd, voordat de situatie op de juiste manier werd aangepakt. Deze fout was het gevolg van miscommunicatie tussen de verschillende partijen die bij het onderzoek betrokken waren. Wij verontschuldigen ons oprecht voor de fout. We implementeren strengere verificatieprocessen om dergelijke fouten in de toekomst te voorkomen. We blijven ons inzetten voor verantwoorde rapportage en het handhaven van de hoogste normen van onderzoeksintegriteit. We willen ook degenen bedanken die de voortdurende blootstelling hebben opgemerkt en dit onder onze aandacht hebben gebracht, waardoor een snelle oplossing mogelijk is geworden.