安全研究员Bob Diachenko分享了他发现的一个未受保护的150GB大小的MongoDB实例。他说,有大量的电子邮件是任何人都可以通过互联网公开访问。 “有些数据比电子邮件地址更详细,并包含个人身份信息(PII)”
发现的数据库包含四个单独的数据集合,合并为808,539,939个记录。该数据库的大部分名称为“mailEmailDatabase”,包含三个文件夹
- Emailrecords(798,171,891条记录)
- emailWithPhone(4,150,600条记录)
- businessLeads(6,217,358条记录)
他与Troy Hunt的HaveIBeenPwned数据库反复核对了一些随机选择的记录。研究人员表示,“我开始分析内容以试图识别所有者并负责任地披露它 - 尽管这开始看起来非常像一个垃圾邮件组织的数据集。”
除了电子邮件数据库之外,Mongo实例还发现了数据库可能的所有者的详细信息 - 一家名为“Verifications.io”的公司 - 提供了“企业电子邮件验证”服务。一旦上传电子邮件进行验证后,它们也会以纯文本格式存储。 “我向Verifications.io报告了我的发现,该网站目前已关闭,这是存档版本,“研究人员说。
图片来自:securitydiscovery
据Diachenko说,
1.有人上传他们想要验证的电子邮件地址列表。
2.Verifications.io有一个邮件服务器和内部电子邮件帐户列表,用于“验证”电子邮件地址。
3.他们通过直接向人们发送电子邮件来做到这一点。如果它没有退回,则验证电子邮件。
4.如果它被退回,他们会把它放在一个退回清单中,这样他们以后就可以轻松验证了。
不怀好意的人将所有潜在的电子邮件地址上传到像verifications.io这样的服务。然后,电子邮件验证服务发送了数万封电子邮件以验证这些用户(有些是真实的,有些则不是)。列表中的每个用户都收到他们自己的垃圾邮件消息“hi”。此外,威胁参与者还收到了这些公司中经过清理、验证和有效的用户列表。这反过来又帮助他了解谁在那里工作,谁不在那里工作,利用这些信息,他可能会发起一场更有针对性的网络钓鱼或暴力强迫活动。
根据Wired的说法,“数据不包含社会安全号码或信用卡号码,数据库中唯一的密码是Verifications.io自己的基础设施。总体而言,大多数数据都是从各种来源公开获得的,但是当犯罪分子可以获得大量数据时,他们就可以更轻松地运行新的社交工程诈骗,或者扩大目标池。“
安全研究员Troy Hunt正在将Verifications.io数据添加到他的服务HaveIBeenPwned中,该服务可帮助人们检查他们的数据是否在数据泄露和泄露中受到损害。他说,在这个拥有7.63亿个电子邮件地址的宝库中,有35%是新添加到HaveIBeenPwned数据库中的。
Verifications.io数据转储也是有史以来第二大添加到HaveIBeenPwned的第二大电子邮件地址,在今年早些时候添加的名为Collection 1的存储库中的7.73亿之后。 Hunt说他自己的一些信息包含在Verifications.io曝光中。
想要了解更多关于这个新闻的细节,请阅读Bob Diachenko的文章。