Anmerkung des Übersetzers - Der Grund für die Übersetzung des Artikels war der Erhalt einer Benachrichtigung, dass sich meine Daten in diesem Leck befanden.
Letzte Woche entdeckten die Sicherheitsforscher Bob Diachenko und Vinny Troia
eine unsichere MongoDB-Datenbank mit 150 Gigabyte Klartext-Marketinginformationen, darunter 763 Millionen eindeutige E-Mail-Adressen. Der Fund ist nicht nur riesig, sondern auch ungewöhnlich. Es enthält Daten zu einzelnen Kunden sowie „Geschäftsinformationen“ wie Daten zu Mitarbeitern und Einkommen verschiedener Unternehmen. Diese Vielfalt kann der Informationsquelle zugeschrieben werden: einer Datenbank von Verification.io zur „Überprüfung“ von E-Mail-Adressen. Die Basis wurde am selben Tag getrennt, als der Forscher das Unternehmen darüber informierte.
Obwohl Sie wahrscheinlich noch nie davon gehört haben, spielen solche Unternehmen eine entscheidende Rolle in der E-Marketing-Branche. Sie senden keine Marketing-E-Mails in ihrem Namen und führen keine automatisierten Mailings durch. Stattdessen überprüfen sie die Kundenliste, um sicherzustellen, dass die darin enthaltenen E-Mail-Adressen gültig sind und nicht mit einem Fehler zurückgegeben werden. Eine vollständige Überprüfung, ob die E-Mail-Adresse funktioniert, umfasst das Senden einer Nachricht an diese Adresse und das Bestätigen der Zustellung - im Wesentlichen das Versenden von Spam an Personen. Dies bedeutet, dass ISPs und Plattformen wie Google Mail nicht blockiert werden müssen. (Es gibt weniger grobe Möglichkeiten, E-Mail-Adressen zu überprüfen, aber sie haben einen Kompromiss zwischen falsch positiven Ergebnissen.) Große E-Mail-Anbieter lagern diese Arbeit häufig aus, anstatt zu riskieren, ihre Infrastruktur auf die schwarze Liste zu setzen.
"Unternehmen haben E-Mail-Listen und möchten mit dem Versenden an sie beginnen, sind sich jedoch nicht sicher, wie zuverlässig sie sind", sagt Troia, Gründer von Night Lion Security. "Also gehen sie zu einer Firma, die im Wesentlichen Spam versendet." Troia schlägt vor, dass die Datenbank so groß und vielfältig sein kann, weil sie alle Daten von Verification.io-Clients enthält. WIRED konnte das Unternehmen oder den CEO Vlad Strelkov mehrere Tage lang nicht kontaktieren. Am Montag wurde die Website Verification.io deaktiviert und seitdem nicht mehr wiederhergestellt. (
Kopie im Internetarchiv ca. übersetzt )
Insgesamt enthalten 809 Millionen Einträge in der Verification.io-Datenbank Standardinformationen wie Namen, E-Mail-Adressen, Telefonnummern und physische Adressen. Viele enthalten jedoch auch Informationen wie Geschlecht, Geburtsdatum, Größe des Hypothekendarlehens, Zinssatz, Facebook-, LinkedIn- und Instagram-Konten, die mit E-Mail-Adressen verknüpft sind, sowie Merkmale der Bonität von Personen (z. B. Durchschnitt, überdurchschnittlich usw.). .d.). In der Zwischenzeit scheinen andere Einträge in der Datenbank mit B2B-Verkäufen in Zusammenhang zu stehen, darunter Firmennamen, jährliche Umsatzzahlen, Faxnummern, Unternehmenswebsites und Branchenkennungen für die Unternehmensklassifizierung („SIC“ - und „NAIC“ -Codes).
Die Daten enthalten keine Sozialversicherungs- oder Kreditkartennummern. Die einzigen Kennwörter in der Datenbank beziehen sich auf die eigene Infrastruktur von Verification.io. Im Allgemeinen sind die meisten Daten aus verschiedenen Quellen öffentlich verfügbar. Wenn Kriminelle jedoch viele aggregierte Daten in die Hand bekommen können, ist es für sie viel einfacher, neue Betrugsprogramme zu starten oder die Zieldatenbank zu erweitern.
In einer offenen Datenbank fanden die Forscher auch einige interne Tools von Verification.io, z. B. Test-E-Mail-Konten, Hunderte von SMTP-Servern (Senden von E-Mails), Text-E-Mails, Anti-Spam-Infrastruktur, zu vermeidende Schlüsselwörter und IP-Adressen für die Blacklisting. Diachenko geht davon aus, dass Verification.io-Clients eine Excel-Tabelle mit den zu überprüfenden E-Mail-Adressen herunterladen. Anschließend führt Verification.io seine Tests durch und gibt Listen mit Arbeitsadressen und denjenigen zurück, die mit einem Fehler geantwortet haben. Aufgrund der Fragmentierung der Daten und des Nachweises, dass sie aus vielen verschiedenen Excel-Dateien importiert wurden, ist es möglich, dass Verification.io nach Überprüfung der E-Mail-Adressen auch einige oder alle von Clients empfangenen Daten beibehalten hat.
Die Forscher überprüften die Probendaten bei Unternehmen, die als Verification.io-Kunden aufgeführt sind. Troia sagt, dass seine eigenen Informationen in der Datenbank erschienen sind. WIRED sprach mit dem Inhaber einer E-Mail-Marketing-Firma. Er bestätigte die Richtigkeit der Daten. WIRED überprüfte auch vier Personen, fand sie jedoch nicht auf der Liste. Diachenko und Troia stellen außerdem fest, dass sie nicht wissen können, ob jemand Verification.io-Daten gefunden hat, als sie öffentlich verfügbar waren. "Ich habe keine Ahnung, ob jemand anderes als wir Zugang dazu hat", sagt Troia. "Aber es war definitiv für alle zum Download verfügbar."
Der Sicherheitsforscher Troy Hunt hat seinem
HaveIBeenPwned- Dienst Verification.io-Daten
hinzugefügt , mit denen überprüft werden kann, ob ihre Daten durch Lecks kompromittiert wurden. Er sagte, dass 35% der 763 Millionen E-Mail-Adressen neu in der HaveIBeenPwned-Datenbank sind. Der Verification.io-Dump ist auch der zweitgrößte, der jemals zu HaveIBeenPwned hinzugefügt wurde, gemessen an der Anzahl der E-Mail-Adressen nach 773 Millionen, bekannt als Sammlung Nr. 1, die Anfang dieses Jahres hinzugefügt wurden. Hunt sagt, dass einige seiner eigenen Informationen in der Verification.io-Datenbank enthalten sind.
"Die wichtigste Schlussfolgerung für mich ist, dass dies nur ein weiterer Fall ist, in dem jemand meine Daten und Hunderte Millionen Daten anderer Personen hat, und ich weiß absolut nicht, wie sie darauf gekommen sind", sagt Hunt. "Ich habe bisher noch nie von einem Unternehmen gehört, und ich kann mich sicherlich nicht erinnern, ob es der Verwendung meiner Daten zugestimmt hat. Natürlich ist es durchaus möglich, dass einige der Nutzungsbedingungen besagen, dass sie meine Daten so verwenden können, aber es entspricht nicht ganz meinen Erwartungen, wie meine Daten verwendet werden sollen. "
Die Fragmentierung der präsentierten Daten Verification.io spricht vom chaotischen Zustand der gesamten Datenbranche. Persönliche Informationen werden an große Unternehmen wie Facebook übertragen, von zweifelhaften Vermarktern gekauft und verkauft oder von Datenriesen gestohlen und sind dazu verdammt, sich im Fegefeuer krimineller Foren endlos zu verbreiten. Für Benutzer wird es schwieriger zu steuern, wer ihre Daten hat und wo sie sich befinden. Wie Hunt sagt: "Leider ist dies nur ein weiterer Tag im Internet."
Hinweis des Übersetzers - Dies ist meine erste Übersetzung zu Habr. Ich bitte Sie, über Fehler und Ungenauigkeiten in persönlichen Nachrichten zu informieren.