Исследователи опровергли «анонимность» данных, собираемых компаниями.
Студенты Гарвардской школы инженерных и прикладных наук им. Джона А. Полсона Даша Метрополитански (Dasha Metropolitansky) и Киан Аттари (Kian Attari) разработали инструмент, анализирующий огромные массивы наборов пользовательских данных, утекших в Сеть в результате взломов. С его помощью они смогли доказать, что деанонимизировать пользователей гораздо проще, чем считается.
С помощью инструмента они проанализировали тысячи наборов данных и несмотря на то, что многие из записей содержали «анонимизированную» информацию, по словам студентов, найти реальных пользователей оказалось не так уж и сложно.
«Отдельная утечка данных похожа на кусочек головоломки. Сама по себе она не представляет опасность, но когда несколько утечек объединены, они образуют удивительно четкую картину личности пользователя», — сообщил исследователь.
Например, в то время как одна компания может хранить только логины, пароли, адреса электронной почты и другую основную информацию об учетной записи, другая компания может хранить данные web-браузинга или информацию о местоположении пользователя. По отдельности подобные записи не помогут идентифицировать конкретного человека, но в совокупности они раскрывают многочисленные персональные подробности.
Исследователи также обнаружили, что, несмотря на неоднократные предупреждения, пользователи по-прежнему не использует уникальные пароли или менеджеры паролей. Из 96 тыс. проанализированных паролей только 26 тыс. были уникальными.
«Киберпреступнику не обязательно искать конкретную цель. Теперь они могут искать пользователей, которые отвечают определенному набору критериев», — сказала Метрополитански.
Используя инструмент, исследователям за несколько секунд удалось создать набор данных с более чем 1 тыс. человек, которые обладают большим капиталом, состоят в браке, имеют детей, а также зарегистрированы на сайтах знакомств.
Одно найти легче, чем другое. Спойлер: это не темная материя