Ένα τεράστιο κενό ασφαλείας επιβεβαιώθηκε πρόσφατα, με την αποκάλυψη ότι περισσότερα από 1 δισεκατομμύριο αρχεία προσωπικών δεδομένων εκτέθηκαν στο διαδίκτυο.
Η διαρροή φαίνεται να συνδέεται με μια υπηρεσία επαλήθευσης ταυτότητας που βασίζεται σε τεχνητή νοημοσύνη, πλήττοντας άτομα από 26 χώρες, με τις ΗΠΑ να βρίσκονται στην κορυφή της λίστας. Τα εκτεθειμένα στοιχεία περιλαμβάνουν εθνικές ταυτότητες, ονοματεπώνυμα, διευθύνσεις, αριθμούς τηλεφώνου και μηνύματα ηλεκτρονικού ταχυδρομείου, συνολικού μεγέθους σχεδόν ενός terabyte.
Εκτεθειμένα δεδομένα KYC σε κίνδυνο
Οι ερευνητές κυβερνοασφάλειας της ομάδας Cybernews ανακάλυψαν τη βάση δεδομένων στις 11 Νοεμβρίου σε μια απροστάτευτη παρουσία MongoDB. Η εταιρεία που σχετίζεται με το συμβάν, ο πάροχος ψηφιακής ταυτότητας IDMerit, ενημερώθηκε άμεσα και έκλεισε την πρόσβαση την ίδια ημέρα. Παρόλο που δεν έχει επιβεβαιωθεί κακόβουλη χρήση μέχρι στιγμής, οι ειδικοί προειδοποιούν ότι οι αυτόματοι ανιχνευτές των χάκερ σαρώνουν συνεχώς τον ιστό για τέτοιες περιπτώσεις.
Τα δεδομένα αυτά αφορούν τη διαδικασία «γνώρισε τον πελάτη σου» (KYC), η οποία χρησιμοποιείται από χρηματοπιστωτικά ιδρύματα για την πρόληψη της απάτης. Είναι ειρωνικό το γεγονός ότι πληροφορίες που προορίζονταν για την ασφάλεια κατέληξαν προσβάσιμες, καθώς οι ψηφιακοί απατεώνες είναι αυτοί που θα μπορούσαν να επωφεληθούν περισσότερο από μια τέτοια διαρροή.
Δεύτερο πλήγμα με εκατομμύρια φωτογραφίες και βίντεο
Σαν να μην έφτανε η πρώτη αποκάλυψη, οι ίδιοι ερευνητές δημοσιοποίησαν στις 19 Φεβρουαρίου μια δεύτερη διαρροή που αφορά μια εφαρμογή Android. Η εφαρμογή «Video AI Art Generator & Maker», η οποία χρησιμοποιεί τεχνητή νοημοσύνη για τη μετατροπή selfies, άφησε εκτεθειμένα σχεδόν 2 εκατομμύρια αρχεία εικόνας και βίντεο.
Η διαρροή οφειλόταν σε λανθασμένη ρύθμιση ενός αποθηκευτικού χώρου στο cloud, επιτρέποντας σε οποιονδήποτε την πρόσβαση χωρίς αυθεντικοποίηση. Τα στοιχεία που εκτέθηκαν περιλαμβάνουν:
- 2,87 εκατομμύρια βίντεο παραχθέντα από AI
- 1,57 εκατομμύρια εικόνες που ανέβασαν οι χρήστες
- 385.000 βίντεο χρηστών και εκατοντάδες χιλιάδες αρχεία ήχου
Οι κίνδυνοι για τους χρήστες
Οι ειδικοί προειδοποιούν ότι οι κίνδυνοι από τέτοιας κλίμακας διαρροές περιλαμβάνουν την κατάληψη λογαριασμών, στοχευμένες επιθέσεις phishing, απάτες πιστωτικών καρτών και SIM swapping.
Τα προσωπικά δεδομένα που εκτέθηκαν, όπως ημερομηνίες γέννησης και εθνικοί αριθμοί ταυτοποίησης, αποτελούν «θησαυρό» για τους εγκληματίες του κυβερνοχώρου.
Συνιστάται στους χρήστες να ελέγχουν τις διευθύνσεις ηλεκτρονικού ταχυδρομείου τους σε ιστότοπους όπως το «Have I Been Pwned» για να διαπιστώσουν αν έχουν επηρεαστεί. Η χρήση διαχειριστών κωδικών πρόσβασης (password managers) και η ενεργοποίηση κλειδιών πρόσβασης (passkeys) παραμένουν τα καλύτερα μέτρα προστασίας απέναντι σε μελλοντικές επιθέσεις.