Pasak kibernetinių duomenų nutekėjimo tikrinimo agentūros „Cybernews”, debesyje atsirado ir paslaptingai dingo duomenų bazė-vaiduoklis, kurioje buvo milijonai įrašų apie Gruzijos piliečius, ir priduriama, kad dėl šio nutekėjimo jautrūs asmens duomenys gali būti pažeidžiami piktavalių.
Pasak leidinio, kibernetinio saugumo tyrėjas ir „SecurityDiscovery.com” savininkas Bobas Djačenka (Bob Dyachenko) ir „Cybernews” tyrėjų komanda aptiko neapsaugotą „Elasticsearch” indeksą. Elasticsearch yra duomenų analizės ir paieškos beveik realiuoju laiku platforma.
„Atrodo, kad duomenys buvo surinkti arba apibendrinti iš kelių šaltinių, įskaitant galimai vyriausybinius ar komercinius duomenų rinkinius ir numerių identifikavimo tarnybas”, – cituoja Djačenką „Cybernews”.
Ji priduria, kad egzempliorius buvo patalpintas Vokietijoje įsikūrusiam debesijos paslaugų teikėjui priklausančiame serveryje. Teigiama, kad viename iš atskleistų indeksų buvo beveik penkių milijonų asmenų asmens duomenų įrašų, o kitame – daugiau kaip septyni milijonai telefono įrašų su susijusia asmenine informacija.Tarp duomenų galėjo būti pasikartojančių įrašų ir mirusių asmenų įrašų.
Pasak „Cybernews”, jautrius asmens duomenis sudarė asmens tapatybės numeriai, vardai ir pavardės, gimtadieniai, lytis, į pažymėjimus panašūs numeriai (galimai draudimo), telefono numeriai su aprašomąja informacija apie savininką.
Jokios tiesioginės informacijos, identifikuojančios už „Elasticsearch” indekso valdymą atsakingą subjektą, nėra.
Netrukus po to, kai buvo nustatytas pažeidimas, serveris buvo išjungtas, o vieša prieiga prie duomenų uždaryta.
„Grėsmių keliantys subjektai gali panaudoti asmens duomenis tiek politinei, tiek nusikalstamai veiklai.Valstybės remiami įsilaužėliai gali pasinaudoti duomenų nutekėjimu politinėms manipuliacijoms, dezinformacijos kampanijoms ar tiksliniam persekiojimui.Tuo tarpu pelno siekiantys įsilaužėliai gali panaudoti duomenis įvairiai kenkėjiškai veiklai”, – cituojamas A. Djačenko.
Leidinys įspėja, kad kibernetiniai nusikaltėliai gali bandyti įvykdyti tapatybės vagystę apsimesdami asmenimis arba naudodami kitus socialinės inžinerijos metodus, kad užgrobtų paskyras ir įvykdytų finansinius nusikaltimus.
Civil.ge kreipėsi į Gruzijos asmens duomenų apsaugos tarnybą dėl komentarų.