Nota do tradutor - o motivo da tradução do artigo foi o recebimento de uma notificação de que fui pwned que meus dados estavam nesse vazamento.
Na semana passada, os pesquisadores de segurança Bob Diachenko e Vinny Troia
descobriram um banco de dados inseguro do MongoDB contendo 150 gigabytes de informações de marketing em texto não criptografado, incluindo 763 milhões de endereços de email exclusivos. A descoberta não é apenas enorme, mas também incomum. Ele contém dados sobre clientes individuais, bem como “informações comerciais”, como dados sobre funcionários e renda de várias empresas. Essa diversidade pode ser atribuída à fonte de informações: um banco de dados pertencente ao Verification.io para "verificar" os endereços de email. A base foi desconectada no mesmo dia em que o pesquisador informou a empresa sobre isso.
Embora você provavelmente nunca tenha ouvido falar deles, essas empresas desempenham um papel crucial no setor de e-marketing. Eles não enviam e-mails de marketing em seu nome e não conduzem correspondências automatizadas. Em vez disso, eles verificam a lista de clientes para garantir que os endereços de e-mail contidos nela sejam válidos e não retornados com erro. Mas uma verificação completa do funcionamento do endereço de email inclui o envio de uma mensagem para esse endereço e a confirmação de que ele foi entregue - essencialmente enviando spam para as pessoas. Isso significa evitar o bloqueio de ISPs e plataformas como o Gmail. (Existem formas menos grosseiras de verificar endereços de e-mail, mas eles têm uma troca de falsos positivos.) Os principais fornecedores de e-mail costumam terceirizar esse trabalho, em vez de arriscar a lista negra de sua infraestrutura.
"As empresas têm listas de e-mail e desejam começar a enviá-las, mas não sabem ao certo se são confiáveis", diz Troia, fundador da Night Lion Security. "Então eles vão para uma empresa que essencialmente envia spam". Troia sugere que o banco de dados possa ser tão grande e diversificado, pois contém todos os dados dos clientes Verification.io. A WIRED não pôde contatar a empresa ou CEO Vlad Strelkov por vários dias. Na segunda-feira, o site Verification.io foi desativado e não foi restaurado desde então. (
copiar no arquivo da Internet aprox. tradução )
No total, 809 milhões de entradas no banco de dados Verification.io incluem informações padrão, como nomes, endereços de email, números de telefone e endereços físicos. Mas muitos também incluem informações como sexo, data de nascimento, tamanho do empréstimo hipotecário, taxa de juros, contas do Facebook, LinkedIn e Instagram associadas a endereços de email, além de características do rating de crédito das pessoas (por exemplo, média, acima da média, etc.) .d.). Enquanto isso, outras entradas no banco de dados parecem estar relacionadas às vendas B2B, incluindo nomes de empresas, números de receita anual, números de fax, sites da empresa e identificadores do setor para classificação da empresa (códigos “SIC” e “NAIC”).
Os dados não contêm números de previdência social ou números de cartão de crédito, e as únicas senhas no banco de dados são da infraestrutura do Verification.io. Em geral, a maioria dos dados está disponível publicamente em várias fontes, mas quando os criminosos podem colocar muitos dados agregados em suas mãos, será muito mais fácil lançar novos esquemas de fraude ou expandir o banco de dados de destino.
Em um banco de dados aberto, os pesquisadores também encontraram algumas das ferramentas internas do Verification.io, como contas de email de teste, centenas de servidores SMTP (envio de emails), emails de texto, infraestrutura anti-spam, palavras-chave a serem evitadas e Endereços IP para lista negra. Diachenko assume que os clientes Verification.io baixam uma planilha do Excel que contém os endereços de email para verificação e, em seguida, o Verification.io executa seus testes e retorna listas de endereços comerciais e aqueles que responderam com erro. É possível, dada a fragmentação dos dados e a evidência de que eles foram importados de muitos arquivos diferentes do Excel, que o Verification.io também reteve alguns ou todos os dados recebidos dos clientes após verificar os endereços de email.
Pesquisadores verificaram dados de amostra com empresas listadas como clientes do Verification.io. Troia diz que suas próprias informações apareceram no banco de dados. WIRED conversou com o proprietário de uma empresa de email marketing. Ele confirmou a precisão dos dados. WIRED também verificou quatro pessoas, mas não as encontrou na lista. Diachenko e Troia também observam que eles não têm como saber se alguém encontrou os dados do Verification.io quando estavam disponíveis ao público. "Eu não tenho idéia se alguém tem acesso a isso além de nós", diz Troia. "Mas estava definitivamente disponível para todos baixarem."
O pesquisador de segurança Troy Hunt adicionou os dados do Verification.io ao seu serviço
HaveIBeenPwned , que ajuda as pessoas a verificar se seus dados foram comprometidos por vazamentos. Ele disse que 35% dos 763 milhões de endereços de email são novos no banco de dados HaveIBeenPwned. O despejo Verification.io também é o segundo maior adicionado ao HaveIBeenPwned pelo número de endereços de e-mail após 773 milhões, conhecido como Coleção nº 1, que foram adicionados no início deste ano. Hunt diz que algumas de suas próprias informações estão incluídas no banco de dados Verification.io.
"A principal conclusão para mim é que este é apenas outro caso em que alguém tem meus dados e centenas de milhões de dados de outras pessoas, e eu absolutamente não sei como eles conseguiram", diz Hunt. "Eu nunca ouvi falar de uma empresa até agora e certamente não me lembro se elas têm consentimento para usar meus dados. Obviamente, é bem possível que alguns dos termos e condições de serviço digam que eles podem usar meus dados assim, mas isso não atende às minhas expectativas sobre como meus dados devem ser usados.
A natureza fragmentada dos dados apresentados Verification.io fala do estado caótico do setor de dados como um todo. As informações pessoais são transferidas para grandes corporações como o Facebook, compradas e vendidas por profissionais de marketing duvidosos ou roubadas de gigantes de dados e estão fadadas a se espalharem sem cessar no purgatório de fóruns criminais. Torna-se mais difícil para os usuários controlar quem tem seus dados e onde eles estão localizados. Como Hunt diz: "Infelizmente, este é apenas mais um dia na Internet".
Nota do tradutor - esta é minha primeira tradução no Habr, peço para informar sobre erros e imprecisões nas mensagens pessoais.