Джеремайя Фаулер, специалист в области кибербезопасности, сообщил об обнаружении базы данных без пароля, содержащей более 600 тысяч записей, принадлежащих компании SL Data Services, работающей под брендом Propertyrec. Организация предоставляет данные о владельцах недвижимости и осуществляет поиск информации о криминальном прошлом.
В открытом доступе находилось 644 869 PDF-файлов общим объемом 713,1 ГБ. Среди документов содержались судебные записи, информация о транспортных средствах (номерные знаки и VIN-коды), а также отчеты о владельцах недвижимости. Примерно 95% изученных исследователем документов были помечены как “проверки биографических данных”. Эти материалы включали полные имена (имя, фамилию и среднее имя), домашние адреса, номера телефонов, электронные адреса, сведения о трудоустройстве, информацию о членах семьи, аккаунтах в социальных сетях и истории судимостей.
Американская компания SL Data Services управляет сетью из примерно 16 различных веб-сайтов, предоставляющих информационные услуги. Один из этих сайтов – Propertyrec – специализируется на предоставлении данных о недвижимости, что подтверждается упоминанием его названия в базе данных. После уведомления об уязвимости доступ к базе был закрыт через неделю. За это время количество документов увеличилось с 513 876 до 664 934, что свидетельствует о добавлении 151 058 новых записей.
Согласно статье издания USA Today, Propertyrec – это онлайн-платформа, позволяющая пользователям получить доступ к миллионам публичных и частных записей о недвижимости во всех юрисдикциях США. В службе поддержки компании подтвердили, что она также предоставляет услуги проверки на судимость, записи отдела транспортных средств (DMV), а также свидетельства о рождении и смерти.
Многочисленные отзывы пользователей свидетельствуют, что компания заявляет о возможности приобретения отдельных документов по цене от 1 доллара за запрос. Однако на практике клиенты могут оказаться подписанными на услугу с регулярной ежемесячной оплатой вместо разовой покупки.
Проверки биографических данных, вероятно, проводились без согласия проверяемых лиц. В США судебные записи и информация о лицах, совершивших преступления на сексуальной почве, обычно считаются публичными. Однако объединение нескольких источников информации могло позволить злоумышленникам составить полные профили пострадавших, включая данные об их родственниках, работодателях или знакомых.
Эти профили потенциально могли использоваться для целевых фишинговых атак или социальной инженерии. Злоумышленники могли бы применять полученную информацию о семье, занятости или уголовных делах для дальнейшего получения конфиденциальных данных, включая финансовую информацию.
Обнаруженная уязвимость произошла всего через несколько месяцев после утечки данных сервиса National Public Data в августе 2024 года. В результате того инцидента были раскрыты имена, адреса, номера телефонов и другие конфиденциальные данные миллионов пользователей. Хакеры получили доступ к системам компании и разместили украденные данные на даркнете. Данные включали информацию о гражданах США, Канады и Великобритании. Помимо этого, злоумышленники предложили доступ к серверу National Public Data за 3,5 миллиона долларов США.