Хабрахабр

[Перевод] Утечка 809 миллионов email адресов сервиса Verifications.io из-за публично открытой MongoDB

Примечание переводчика — поводом для перевода статьи стало получение уведомления Have I Been Pwned о том, что мои данные оказались в этой утечке.

Находка не только огромная, но и необычная. На прошлой неделе исследователи безопасности Bob Diachenko и Vinny Troia обнаружили незащищенную базу данных MongoDB, содержащую 150 гигабайт маркетинговой информации в виде открытого текста, включая 763 миллиона уникальных адресов электронной почты. Это разнообразие может объясняться источником информации: база данных, принадлежащая фирме Verification.io по «проверке» адресов электронной почты. Она содержит данные об отдельных клиентах, а также «деловую информацию», такую как данные о сотрудниках и доходах различных компаний. Они не рассылают маркетинговые электронные письма от своего имени и не проводят автоматизированные рассылки. База была отключена в тот же день, когда исследователь сообщил об этом компании.
Хотя вы, вероятно, никогда не слышали о них, такие компании играют решающую роль в индустрии электронного маркетинга. Но полная проверка того, что адрес электронной почты работает, включает в себя отправку сообщения на этот адрес и подтверждение того, что оно было доставлено — по сути отправка спама людям. Вместо этого они проверяют список клиента, чтобы убедиться, что адреса электронной почты в нем действительны и не возвращаются с ошибкой. (Существуют менее грубые способы проверки адресов электронной почты, но у них есть компромисс ложных срабатываний.) Основные провайдеры email-рассылок часто передают эту работу на аутсорсинг, а не берут на себя риск внесения своей инфраструктуры в черный список. Это означает уклонение от блокировок интернет-провайдеров и платформ, таких как Gmail.

«Поэтому они идут в компанию, которая по сути рассылает спам». «У компаний есть списки адресов электронной почты и хотят начать рассылку по ним, но они не уверены, насколько они достоверны», — говорит Troia, основатель фирмы Night Lion Security. WIRED не мог в течение нескольких дней связаться с компанией или CEO Vlad Strelkov. Troia предполагает, что база данных может быть настолько большой и разнообразной, потому что она содержит все данные клиентов Verification.io. (копия в архиве интернета прим. В понедельник веб-сайт Verification.io отключился и с тех пор не восстанавливался. перев.)

Но многие также включают в себя такую информацию, как пол, дата рождения, размер ипотечного кредита, процентная ставка, аккаунты Facebook, LinkedIn и Instagram, связанные с адресами электронной почты, а также характеристики кредитного рейтинга людей (например, средний, выше среднего и т.д.). В целом, 809 миллионов записей в базе Verification.io включают стандартную информацию, такую как имена, адреса электронной почты, номера телефонов и физические адреса. Между тем, другие записи в базе, по-видимому, связаны с потенциальными продажами услуг Verification.io, включая названия компаний, цифры годового дохода, номера факсов, веб-сайты компаний и отраслевые идентификаторы для классификации компаний («SIC» и «NAIC» коды).

В целом, большая часть данных является общедоступной из различных источников, но когда преступники могут получить в свои руки множество агрегированных данных, им будет намного легче запускать новые схемы мошенничества или расширять базу целей. Данные не содержат номеров социального страхования или номеров кредитных карт, и единственные пароли в базе данных предназначены для собственной инфраструктуры Verification.io.

Diachenko предполагает, что клиенты Verification.io загружают таблицу Excel, содержащую адреса электронной почты для проверки, а затем Verification.io запускает свои тесты и возвращает списки рабочих адресов и те, которые ответили с ошибкой. В открытой базе данных исследователи также обнаружили некоторые из внутренних инструментов Verification.io, такие как тестовые учетные записи электронной почты, сотни SMTP-серверов (отправка электронной почты), текст электронных писем, инфраструктура для предотвращения спама, ключевые слова, которых следует избегать, и IP-адреса для черного списка. Возможно, учитывая разобщенность данных и свидетельство того, что они были импортированы из множества различных файлов Excel, что Verification.io также сохранил некоторые или все данные, полученные от клиентов после завершения проверки адресов электронной почты.

Troia говорит, что его собственная информация появилась в базе данных. Исследователи проверяли образцы данных с компаниями, перечисленными в качестве клиентов Verification.io. Он подтвердил достоверность части данных. WIRED поговорил с владельцем компании, которая занимается email маркетингом. Diachenko and Troia также отмечают, что у них нет никакого способа узнать, обнаружил ли кто-либо данные Verification.io, когда они были общедоступны. WIRED также проверил четырех человек, но не нашел их в списке. «Но это было точно доступно всем для скачивания». «Я понятия не имею, получил ли кто-нибудь еще доступ к этому, кроме нас», — говорит Troia.

Он сказал, что 35% из 763 миллионов адресов электронной почты являются новыми для базы данных HaveIBeenPwned. Исследователь безопасности Troy Hunt добавил данные Verification.io в свой сервис HaveIBeenPwned, который помогает людям проверить, были ли их данные скомпрометированы в результате утечек. Hunt говорит, что часть его собственной информации включена в базу Verification.io. Дамп Verification.io также является вторым по величине из когда-либо добавленных в HaveIBeenPwned по количеству адресов электронной почты после 773 миллионов, известных как Collection #1, которые были добавлены ранее в этом году.

«Я никогда не слышал о компании до сих пор, и я, конечно, не могу вспомнить, есть ли у них согласие использовать мои данные. «Главный вывод для меня в том, что это просто еще один случай, когда у кого-то есть мои данные и сотни миллионов данных других людей, и я абсолютно не знаю, как они их получили», — говорит Hunt. Конечно, вполне возможно, что в некоторых положениях и условиях обслуживания говорится, что они могут использовать мои данные примерно так, но это не совсем соответствует моим ожиданиям относительно того, как мои данные должны использоваться».

Личная информация людей передается огромным корпорациям, таким как Facebook, покупается и продается сомнительными маркетологами, или похищается у гигантов данных и обречена бесконечно распространяться в чистилище криминальных форумов. Разобщенная природа представленных данных Verification.io говорит о хаотичном состоянии индустрии данных в целом. Как говорит Hunt: «К сожалению, это просто еще один день в Интернете». Пользователям становится труднее контролировать, у кого есть их данные и где они находятся.

Примечание переводчика — это мой первый перевод на Хабре, об ошибках и неточностях прошу сообщать в личные сообщения.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть