译者注-翻译该文章的原因是收到我的个人资料已泄漏通知。
上周,安全研究人员Bob Diachenko和Vinny Troia
发现了一个 不安全的MongoDB数据库 ,
该 数据库包含150 GB的明文营销信息,包括7.63亿个唯一的电子邮件地址。 发现不仅巨大,而且不寻常。 它包含有关个人客户的数据以及“业务信息”,例如有关各个公司的雇员和收入的数据。 这种多样性可以归因于信息源:Verification.io拥有的一个数据库,用于“验证”电子邮件地址。 当研究人员将其告知公司时,基地于当天断开。
尽管您可能从未听说过它们,但这些公司在电子营销行业中起着至关重要的作用。 他们不代表他们发送市场营销电子邮件,也不进行自动邮件发送。 相反,他们检查客户列表以确保其中的电子邮件地址有效且没有错误返回。 但是,要全面检查电子邮件地址是否正常运行,包括向该地址发送一条消息并确认其已发送-本质上就是向人们发送垃圾邮件。 这意味着避免阻止ISP和平台(例如Gmail)。 (验证电子邮件地址的粗略方法较少,但要在误报中进行权衡。)主要的电子邮件提供商通常将这项工作外包,而不是冒着将其基础设施列入黑名单的风险。
Night Lion Security的创始人Troia说:“公司拥有电子邮件列表,并希望开始向他们发送邮件,但他们不确定它们的可靠性。” “所以他们去了一家基本上发送垃圾邮件的公司。” Troia建议该数据库可以如此之大和多样化,因为它包含来自Verification.io客户端的所有数据。 WIRED几天未与公司或首席执行官Vlad Strelkov联系。 周一,Verification.io网站关闭,此后未恢复。 (
在Internet存档中复制大约翻译 )
Verification.io数据库中总共有8.09亿个条目包含标准信息,例如名称,电子邮件地址,电话号码和实际地址。 但是,许多信息还包括诸如性别,出生日期,抵押贷款规模,利率,与电子邮件地址相关联的Facebook,LinkedIn和Instagram帐户之类的信息,以及人们的信用等级特征(例如,平均水平,高于平均水平等)。 .d。)。 同时,数据库中的其他条目似乎与B2B销售额有关,包括公司名称,年收入数字,传真号码,公司网站和用于公司分类的行业标识符(“ SIC”和“ NAIC”代码)。
数据不包含社会保险号或信用卡号,并且数据库中唯一的密码是Verification.io自己的基础结构的密码。 通常,大多数数据可以从各种来源公开获得,但是当犯罪分子可以将大量汇总数据掌握在手中时,他们将更容易发起新的欺诈计划或扩展目标数据库。
在一个开放的数据库中,研究人员还发现了Verification.io的一些内部工具,例如测试电子邮件帐户,数百个SMTP服务器(发送电子邮件),文本电子邮件,反垃圾邮件基础结构,避免使用的关键字以及列入黑名单的IP地址。 Diachenko假定Verification.io客户端下载了包含要验证的电子邮件地址的Excel电子表格,然后Verification.io运行其测试并返回工作地址列表和回答错误的列表。 考虑到数据的碎片以及它们是从许多不同的Excel文件导入的证据,Verification.io还会在检查电子邮件地址后保留从客户端收到的部分或全部数据。
研究人员与作为Verification.io客户列出的公司检查了样本数据。 Troia说自己的信息已经出现在数据库中。 有线与一家电子邮件营销公司的所有者进行了交谈。 他确认了数据的准确性。 有线也检查了四个人,但没有在列表中找到他们。 Diachenko和Troia还指出,他们无法知道是否有人在公开发布时发现Verification.io数据。 Troia说:“除了我们以外,我不知道是否还有其他人可以使用此功能。” “但是绝对可以供所有人下载。”
安全研究员Troy Hunt已将Verification.io数据添加到他的
HaveIBeenPwned服务中,该服务可以帮助人们检查其数据是否已因泄漏而受到损害。 他说,7.63亿个电子邮件地址中的35%是HaveIBeenPwned数据库的新地址。 根据今年早些时候添加的7.73亿个电子邮件地址(称为集合1),Verification.io转储也是有史以来第二大添加到HaveBeenPwned的电子邮件。 亨特说,他自己的一些信息包含在Verification.io数据库中。
亨特说:“对我来说,主要结论是,这是另一种情况,某人拥有我的数据和数亿其他人的数据,而我绝对不知道他们是如何获得的。” “到目前为止,我从未听说过一家公司,我当然不记得他们是否同意使用我的数据。 当然,某些服务条款和条件很可能说他们可以以不符合我对如何使用我的数据的期望的方式使用我的数据。”
所呈现的数据Verification.io的零碎本质说明了整个数据行业的混乱状态。 个人信息被转移到Facebook等大型公司,由可疑的营销人员买卖,或者从数据巨头那里窃取,并且注定要在犯罪论坛的炼狱中无休止地传播。 用户变得更加难以控制谁拥有他们的数据以及他们在哪里。 正如亨特所说:“很遗憾,这只是互联网上的另一天。”
译者注-这是我对Habr的第一笔翻译,我希望告知您个人消息中的错误和不准确之处。