De gegevens van 44 miljoen Pakistaanse mobiele abonnees zijn deze week online gelekt, ZDNet heeft geleerd.
Het lek komt nadat een hacker vorige maand probeerde een pakket met 115 miljoen Pakistaanse mobiele gebruikersrecords te verkopen voor een prijs van $ 2.1 miljoen in bitcoin.
ZDNet heeft kopieën van beide datasets verkregen. We hebben alle 44 miljoen records ontvangen die vandaag online zijn vrijgegeven, maar we hebben ook een steekproef ontvangen van 55 miljoen gebruikersrecords die deel uitmaakten van de 115 miljoen datadump. Op basis van de datasets kunnen we concluderen dat beide hetzelfde zijn.
Volgens onze analyse van de gelekte bestanden bevatten de gegevens zowel persoonlijk identificeerbare informatie als telefoniegerelateerde informatie. Dit omvat onder meer:
- Volledige namen van klanten
- Thuisadressen (stad, regio, straatnaam)
- Nationale identificatie (CNIC) nummers
- Mobiele telefoonnummers
- Vaste nummers
- Data van inschrijving
De gegevens bevatten details voor zowel Pakistaanse thuisgebruikers als lokale bedrijven.
Details voor bedrijven kwamen overeen met openbare registers en openbare telefoonnummers die op de websites van bedrijven worden vermeld. Daarnaast heeft ZDNet ook de geldigheid van de gelekte gegevens geverifieerd bij meerdere Pakistaanse gebruikers.
Op basis van de abonnementsdatums zijn de oudste vermeldingen in de gelekte bestanden van eind 2013, wat suggereert dat hackers ofwel een ouder back-upbestand in handen hebben gekregen, ofwel dat de inbreuk in 2013 heeft plaatsgevonden en nu pas online is opgedoken.
De overgrote meerderheid van de vermeldingen in de gelekte bestanden bevatten mobiele telefoonnummers van Jazz (voorheen Mobilink), een Pakistaanse mobiele operator. Echter, ZDNet identificeerde ook telefoonnummers die van andere mobiele operators bleken te zijn.
Als gevolg hiervan konden we op basis van feitelijk en tastbaar bewijs niet concluderen dat de gegevens afkomstig waren van Jazz-servers. Momenteel is het onduidelijk of de gegevens afkomstig waren van Jazz zelf, een overheidsorganisatie, een Jazz-partner of een telemarketingbedrijf.
Een woordvoerder van Jazz reageerde niet op een verzoek om commentaar; Het bedrijf betwistte echter eerder dat de gegevens van zijn servers kwamen.
Het incident is al in onderzoek in Pakistan, waar de Pakistan Telecommunication Authority (PTA) en de Federal Investigation Agency (FIA) de zaak onderzoeken sinds vorige maand toen een hacker voor het eerst probeerde de volledige batch van 115 miljoen te verkopen op een hackerforum.
Bedreigingsinformatiebedrijf Rewterz, die voor het eerst de forumadvertentie van april zag en gegevensvoorbeelden analyseerde, concludeerde ook dat de gegevens echt waren en vermeed ook de directe schuld van Jazz, zonder enig bewijs.
