En kinesisk database med 800 millioner af billeder af folks ansigter samt køretøjers nummerplader har været offentligt tilgængeligt på internettet i flere måneder, før det i august bid for bid forsvandt.
Lækket er det næststørste kendte læk til dato - næstefter et læk på en milliard filer fra en politibase i Shanghai fra juni måned.
Det skriver TechCrunch.
I begge de to tilfælde blev dataene sandsynligvis afsløret utilsigtet og som et resultat af menneskelige fejl.
Den 800 millioner enheders store datapakke tilhører teknologifirmaet Xinai Electronics med base i Hangzhou på Kinas østkyst.
Virksomheden bygger systemer til styring af adgang for mennesker og køretøjer til arbejdspladser, skoler, byggepladser og parkeringshuse i hele Kina.
Virksomheden bruger ansigtsgenkendelse i dette arbejde, og derfor er de mange data af den karatker de er.
Sikkerhedsforsker Anurag Sen fandt virksomhedens eksponerede database på en Alibaba-hostet server i Kina. Den eksponerede datatbase voksede satdig, da forskeren fandt frem til den.
Foruden personansigter på bygningsarbejdere og kontoransatte og nummerplader indeholder databasen også optegnelser og fulde webadresser på billedfiler, der var hostet på flere domæner ejet af Xinai. Hverken databasen eller de hostede billedfiler var beskyttet af adgangskoder og kunne tilgås fra webbrowseren af alle, der vidste, hvor de skulle lede.
Også personernes personlige oplysninger, såsom personens navn, alder og køn, sammen med beboer-id-numre, som er Kinas svar på CPR-nummeret lå offentligt tilgængeligt.
TechCrunch sendte flere beskeder om den udsatte database til e-mailadresser, der vides at være forbundet med Xinais grundlægger, men ifølge mediet blev disse mails ikke returneret.
Databasen blev taget ned i midten af august. Desværre forsent.
Andre end sikkerhedsforskeren havde også opdaget databasen, og kvitteret med en besked til firmaet om løsesumskrav, hvori afsender hævder at have stjålet indholdet af datatbasen.
Om vedkommende har slettet indhold fra basen, eller om påstanden handler om kopiering af data vides ikke.
Vedkommende tilbyder dog at dekryptere data for et par hundrede dollar i kryptovaluta.
Indtil videre viser blockchain-adressen i løsesumsedlen, at den endnu ikke har modtaget nogen penge.