Catatan Penerjemah - alasan untuk terjemahan artikel adalah diterimanya notifikasi Sudahkah Saya Telah Dimasukkan bahwa data saya ada dalam kebocoran ini.
Pekan lalu, peneliti keamanan Bob Diachenko dan Vinny Troia
menemukan database MongoDB tidak aman yang berisi 150 gigabytes informasi pemasaran teks-jelas, termasuk 763 juta alamat email unik. Temuan ini tidak hanya besar, tetapi juga tidak biasa. Ini berisi data tentang pelanggan individu, serta "informasi bisnis", seperti data tentang karyawan dan pendapatan dari berbagai perusahaan. Keragaman ini dapat dikaitkan dengan sumber informasi: database yang dimiliki oleh Verification.io untuk "memverifikasi" alamat email. Pangkalan itu terputus pada hari yang sama ketika peneliti memberi tahu perusahaan tentang hal itu.
Meskipun Anda mungkin belum pernah mendengarnya, perusahaan seperti itu memainkan peran penting dalam industri pemasaran elektronik. Mereka tidak mengirim email pemasaran atas nama mereka dan tidak melakukan pengiriman otomatis. Sebagai gantinya, mereka memeriksa daftar pelanggan untuk memastikan bahwa alamat email di dalamnya valid dan tidak dikembalikan dengan kesalahan. Tetapi pemeriksaan lengkap bahwa alamat email berfungsi termasuk mengirimkan pesan ke alamat ini dan mengonfirmasi bahwa itu dikirim - pada dasarnya mengirim spam ke orang-orang. Ini berarti menghindari pemblokiran ISP dan platform seperti Gmail. (Ada sedikit cara kasar untuk memverifikasi alamat email, tetapi mereka memiliki pertukaran positif palsu.) Penyedia email utama sering mengalihdayakan pekerjaan ini, alih-alih mengambil risiko memasukkan daftar hitam infrastruktur mereka.
"Perusahaan memiliki daftar email dan ingin mulai mengirim surat kepada mereka, tetapi mereka tidak yakin seberapa andal mereka," kata Troia, pendiri Night Lion Security. "Jadi mereka pergi ke perusahaan yang pada dasarnya mengirim spam." Troia menyarankan bahwa database bisa sangat besar dan beragam karena berisi semua data dari klien Verification.io. WIRED tidak dapat menghubungi perusahaan atau CEO Vlad Strelkov selama beberapa hari. Pada hari Senin, situs web Verification.io dimatikan dan belum dipulihkan sejak saat itu. (
salin dalam terjemahan Internet kira-kira terjemahan. )
Secara keseluruhan, 809 juta entri dalam database Verification.io mencakup informasi standar seperti nama, alamat email, nomor telepon, dan alamat fisik. Tetapi banyak juga yang menyertakan informasi seperti jenis kelamin, tanggal lahir, ukuran pinjaman hipotek, suku bunga, Facebook, LinkedIn dan akun Instagram yang terkait dengan alamat email, serta karakteristik peringkat kredit masyarakat (misalnya, rata-rata, di atas rata-rata, dll.) .d.). Sementara itu, entri lain dalam database tampaknya terkait dengan penjualan B2B, termasuk nama perusahaan, angka pendapatan tahunan, nomor faks, situs web perusahaan, dan pengidentifikasi industri untuk klasifikasi perusahaan ("SIC" dan "NAIC" kode).
Data tidak mengandung nomor jaminan sosial atau nomor kartu kredit, dan satu-satunya kata sandi dalam database adalah untuk infrastruktur Verification.io sendiri. Secara umum, sebagian besar data tersedia untuk umum dari berbagai sumber, tetapi ketika penjahat bisa mendapatkan banyak data agregat di tangan mereka, akan lebih mudah bagi mereka untuk meluncurkan skema penipuan baru atau memperluas basis data target.
Dalam database terbuka, peneliti juga menemukan beberapa alat internal Verification.io, seperti menguji akun email, ratusan server SMTP (mengirim email), email teks, infrastruktur anti-spam, kata kunci yang harus dihindari, dan Alamat IP untuk daftar hitam. Diachenko mengasumsikan bahwa klien Verification.io mengunduh spreadsheet Excel yang berisi alamat email untuk diverifikasi, dan kemudian Verification.io menjalankan tesnya dan mengembalikan daftar alamat kantor dan yang menjawab dengan kesalahan. Dimungkinkan, mengingat fragmentasi data dan bukti bahwa mereka diimpor dari banyak file Excel yang berbeda, bahwa Verifikasi.io juga mempertahankan sebagian atau semua data yang diterima dari klien setelah memeriksa alamat email.
Peneliti memeriksa data sampel dengan perusahaan yang terdaftar sebagai pelanggan Verification.io. Troia mengatakan informasinya sendiri telah muncul di database. WIRED berbicara dengan pemilik perusahaan pemasaran email. Dia mengkonfirmasi keakuratan data. WIRED juga memeriksa empat orang, tetapi tidak menemukan mereka dalam daftar. Diachenko dan Troia juga mencatat bahwa mereka tidak memiliki cara untuk mengetahui apakah ada yang menemukan data Verification.io ketika itu tersedia untuk umum. "Saya tidak tahu apakah ada orang lain yang memiliki akses ke hal ini selain kami," kata Troia. "Tapi itu pasti tersedia untuk semua orang untuk mengunduh."
Peneliti keamanan Troy Hunt telah menambahkan data Verification.io ke layanan
HaveIBeenPwned , yang membantu orang memeriksa apakah data mereka telah dikompromikan oleh kebocoran. Dia mengatakan bahwa 35% dari 763 juta alamat email baru untuk database HaveIBeenPwned. Dump Verification.io juga merupakan yang terbesar kedua yang pernah ditambahkan ke HaveIBeenPwned oleh jumlah alamat email setelah 773 juta, yang dikenal sebagai Collection # 1, yang ditambahkan awal tahun ini. Hunt mengatakan beberapa informasinya sendiri termasuk dalam database Verification.io.
"Kesimpulan utama bagi saya adalah bahwa ini hanyalah kasus lain di mana seseorang memiliki data saya dan ratusan juta data orang lain, dan saya benar-benar tidak tahu bagaimana mereka mendapatkannya," kata Hunt. “Saya belum pernah mendengar perusahaan sejauh ini, dan saya pasti tidak ingat apakah mereka memiliki izin untuk menggunakan data saya. Tentu saja, sangat mungkin bahwa beberapa syarat dan ketentuan layanan mengatakan bahwa mereka dapat menggunakan data saya dengan cara yang tidak sesuai dengan harapan saya tentang bagaimana data saya harus digunakan. "
Sifat terfragmentasi dari data yang disajikan Verification.io berbicara tentang keadaan kacau industri data secara keseluruhan. Informasi pribadi ditransfer ke perusahaan besar seperti Facebook, dibeli dan dijual oleh pemasar yang meragukan, atau dicuri dari raksasa data dan ditakdirkan untuk terus-menerus menyebar di api penyucian forum-forum kriminal. Semakin sulit bagi pengguna untuk mengontrol siapa yang memiliki data dan di mana mereka berada. Seperti yang dikatakan Hunt: "Sayangnya, ini hanyalah hari lain di Internet."
Catatan penerjemah - ini adalah terjemahan pertama saya di Habr, saya meminta untuk menginformasikan tentang kesalahan dan ketidakakuratan dalam pesan pribadi.