ملاحظة المترجم - كان سبب ترجمة المقال هو استلام إخطار "هل كنت منزعجًا" بأن بياناتي كانت في هذا التسرب.
في الأسبوع الماضي ، اكتشف الباحثان الأمنيان بوب دياتشينكو وفيني ترويا
قاعدة بيانات غير منسقة تحتوي على 150 غيغابايت من معلومات التسويق النص الواضح ، بما في ذلك 763 مليون عنوان بريد إلكتروني فريد. الاكتشاف ليس ضخمًا فحسب ، بل إنه غير عادي أيضًا. أنه يحتوي على بيانات عن العملاء الأفراد ، وكذلك "معلومات العمل" ، مثل البيانات المتعلقة بالموظفين وإيرادات الشركات المختلفة. يمكن أن يعزى هذا التنوع إلى مصدر المعلومات: قاعدة بيانات مملوكة لشركة Verification.io "للتحقق" من عناوين البريد الإلكتروني. تم قطع القاعدة في نفس اليوم عندما أبلغ الباحث الشركة بذلك.
على الرغم من أنك لم تسمع بها مطلقًا ، تلعب هذه الشركات دورًا مهمًا في صناعة التسويق الإلكتروني. لا يرسلون رسائل البريد الإلكتروني التسويقية نيابةً عنهم ولا يقومون بإجراء المراسلات الآلية. وبدلاً من ذلك ، يقومون بالتحقق من قائمة العملاء للتأكد من أن عناوين البريد الإلكتروني فيها صالحة ولا يتم إرجاعها مع وجود خطأ. ولكن التحقق الكامل من أن عنوان البريد الإلكتروني يعمل بما في ذلك إرسال رسالة إلى هذا العنوان والتأكيد على أنه تم تسليمها - إرسال البريد المزعج أساسا إلى الناس. هذا يعني تجنب حظر مزودي خدمات الإنترنت والأنظمة الأساسية مثل Gmail. (توجد طرق أقل دقة للتحقق من عناوين البريد الإلكتروني ، لكن لديهم مفاضلة في الإيجابيات الخاطئة.) غالبًا ما يستعين مقدمو خدمات البريد الإلكتروني الرئيسيون بهذا العمل ، بدلاً من المخاطرة بإدراج بنيتهم الأساسية في القائمة السوداء.
يقول Troia ، مؤسس Night Lion Security: "لدى الشركات قوائم بريد إلكتروني وترغب في بدء إرسالها بالبريد الإلكتروني ، لكنهم غير متأكدين من مدى موثوقيتها". "لذلك يذهبون إلى شركة ترسل رسائل غير مرغوب فيها بشكل أساسي." تقترح Troia أن قاعدة البيانات يمكن أن تكون كبيرة ومتنوعة لأنها تحتوي على جميع البيانات من عملاء Verification.io. لم يتمكن WIRED من الاتصال بالشركة أو الرئيس التنفيذي Vlad Strelkov لعدة أيام. في يوم الاثنين ، تم إيقاف تشغيل موقع Verification.io ولم تتم استعادته منذ ذلك الحين. (
نسخ في أرشيف أرشيف الترجمة تقريبًا. )
إجمالًا ، يتضمن 809 مليون إدخال في قاعدة بيانات Verification.io المعلومات القياسية مثل الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف والعناوين الفعلية. لكن العديد منها يشمل أيضًا معلومات مثل الجنس وتاريخ الميلاد وحجم قرض الرهن العقاري وسعر الفائدة وحسابات Facebook و LinkedIn و Instagram المرتبطة بعناوين البريد الإلكتروني ، بالإضافة إلى خصائص التصنيف الائتماني للأشخاص (على سبيل المثال ، المتوسط ، أعلى من المتوسط ، إلخ) .d.). وفي الوقت نفسه ، يبدو أن الإدخالات الأخرى في قاعدة البيانات مرتبطة بمبيعات B2B ، بما في ذلك أسماء الشركات وأرقام الإيرادات السنوية وأرقام الفاكس ومواقع الشركة ومعرفات الصناعة لتصنيف الشركة ("SIC" و "NAIC").
لا تحتوي البيانات على أرقام ضمان اجتماعي أو أرقام بطاقات ائتمان ، وكلمات المرور الوحيدة في قاعدة البيانات مخصصة للبنية الأساسية الخاصة بـ Verification.io. بشكل عام ، فإن معظم البيانات متاحة للجمهور من مصادر مختلفة ، ولكن عندما يتمكن المجرمون من الحصول على الكثير من البيانات المجمعة في أيديهم ، سيكون من الأسهل بالنسبة لهم إطلاق مخططات احتيال جديدة أو توسيع قاعدة البيانات المستهدفة.
في قاعدة بيانات مفتوحة ، وجد الباحثون أيضًا بعض أدوات Verification.io الداخلية ، مثل حسابات البريد الإلكتروني التجريبية ومئات من خوادم SMTP (إرسال رسائل البريد الإلكتروني) ورسائل البريد الإلكتروني النصية والبنية الأساسية لمكافحة البريد العشوائي والكلمات الرئيسية التي يجب تجنبها و عناوين IP للقائمة السوداء. يفترض Diachenko أن عملاء Verification.io يقومون بتنزيل جدول بيانات Excel يحتوي على عناوين البريد الإلكتروني للتحقق ، ثم يقوم Verification.io بإجراء اختباراته ويعيد قوائم عناوين العمل وتلك التي تمت الإجابة عنها بخطأ. من الممكن ، بالنظر إلى تجزئة البيانات والأدلة التي تم استيرادها من العديد من ملفات Excel المختلفة ، أن Verification.io احتفظ أيضًا ببعض أو كل البيانات التي تم تلقيها من العملاء بعد التحقق من عناوين البريد الإلكتروني.
قام الباحثون بفحص بيانات العينة مع الشركات المدرجة كعملاء Verification.io. تقول Troia إن المعلومات الخاصة بها قد ظهرت في قاعدة البيانات. تحدث WIRED مع صاحب شركة تسويق عبر البريد الإلكتروني. وأكد دقة البيانات. فحص WIRED أيضًا أربعة أشخاص ، لكنه لم يعثر عليهم في القائمة. لاحظ أيضًا Diachenko و Troia أنه ليس لديهم طريقة لمعرفة ما إذا كان أي شخص قد عثر على بيانات Verification.io عندما كانت متاحة للجمهور. يقول ترويا: "ليس لدي أي فكرة عما إذا كان بإمكان أي شخص آخر الوصول إلى هذا غيرنا". "لكنه كان متاحًا بالتأكيد للجميع لتنزيله."
أضاف باحث الأمن Troy Hunt بيانات Verification.io إلى خدمة
HaveIBeenPwned الخاصة به ، والتي تساعد الأشخاص على التحقق مما إذا كانت بياناتهم قد تعرضت
للتسريب . وقال إن 35٪ من 763 مليون عنوان بريد إلكتروني جديدة في قاعدة بيانات HaveIBeenPwned. يعد Verification.io dump أيضًا ثاني أكبر إصدار يتم إضافته إلى HaveIBeenPwned بعدد عناوين البريد الإلكتروني بعد 773 مليونًا ، والمعروفة باسم Collection # 1 ، والتي تمت إضافتها في وقت سابق من هذا العام. يقول هانت إن بعض معلوماته الخاصة مدرجة في قاعدة بيانات Verification.io.
يقول هنت: "الاستنتاج الرئيسي بالنسبة لي هو أن هذه مجرد حالة أخرى حيث يمتلك شخص ما بياناتي ومئات الملايين من بيانات الأشخاص الآخرين ، ولا أعرف مطلقًا كيف حصلوا عليها". "لم أسمع عن شركة حتى الآن ، وبالتأكيد لا يمكنني تذكر ما إذا كانت لديهم موافقة على استخدام بياناتي. بالطبع ، من الممكن تمامًا أن تقول بعض بنود وشروط الخدمة أنها يمكن أن تستخدم بياناتي مثل هذه ، لكنها لا تلبي تمامًا توقعاتي حول كيفية استخدام بياناتي.
تتحدث الطبيعة المجزأة للبيانات المقدمة Verification.io عن الحالة الفوضوية لصناعة البيانات ككل. يتم نقل المعلومات الشخصية إلى الشركات الضخمة مثل Facebook ، التي يتم شراؤها وبيعها من قبل المسوقين المشكوك فيهم ، أو المسروقة من الشركات العملاقة للبيانات ، ومن المحكوم أن تنتشر إلى ما لا نهاية في تطهير المنتديات الإجرامية. يصبح من الصعب على المستخدمين التحكم في من لديه بياناته وأين توجد. كما يقول هنت: "لسوء الحظ ، هذا مجرد يوم آخر على الإنترنت."
ملاحظة المترجم - هذه هي أول ترجمة لي في هبر ، أطلب إبلاغ الأخطاء والأخطاء في الرسائل الشخصية.