763 mln adresów w bazie bez hasła i nieuchwytna firma. Jak tu nie mieć paranoi?

Specjaliści znaleźli niezabezpieczoną bazę danych, z której można było wydobyć 150 GB danych, w tym 763 mln adresy e-mail, a także dane osobowe i dane o firmach. Nad wyciekami danych, nawet ogromnymi, przeszliśmy już do porządku dziennego, ale tym warto się zainteresować niezależnie od miejsca zamieszkania. W bazie znajdowało się ponad 250 mln adresów e-mail, które wcześniej nie trafiły w ręce przestępców i możliwe, że są tam także dane Polaków.

Badacze Bob Diachenko z Security Discovery i Vinny Troia z Night Lion Security znaleźli publicznie dostępną bazę danych. W niezabezpieczonej hasłem bazie, działającej pod kontrolą popularnego systemu zarządzania danymi MongoDB, znajdowało się 150 GB danych tekstowych. Wśród nich były 763 miliony unikatowych adresów e-mail i szczegółowe informacje dotyczące kampanii marketingowych. Są to dane dotyczące pojedynczych klientów i działalności wielu firm – zarobki, liczba pracowników, dane kontaktowe, obszary działania itp.

W sumie w bazie znajdowało się 809 mln wpisów. Poza adresami e-mail były tam też numery telefonów, imiona, nazwiska, adresy fizyczne i sporo danych demograficznych: płeć, wiek, informacje o kredytach, historii kredytowej i zadłużeniu, konto na Facebooku, Instagramie i LinkedInie. Szczęście w nieszczęściu, że w tej ogromnej bazie nie było haseł, ich skrótów, ani informacji o kartach płatniczych. Vinny Troia spekuluje, że mogła to być baza adresów dostarczonych przez wszystkich klientów, ale nie ma pewności.

Znalezisko jest nie tylko ogromne, ale też niezwykłe. Z 763 mln unikatowych adresów e-mail ponad 250 milionów nie znajdowało się na dostępnych już listach, wystawianych na sprzedaż w darknecie. 35 proc. adresów e-mail z tej bazy było z punktu widzenia cyberprzestępców zupełnie nowym towarem. Ponadto dostęp do danych o działalności firm może posłużyć jako podstawa dla nowych ataków phishingowych i oszustw.

Baza należała do Verifications.io, świadczącej usługi potwierdzania adresów e-mail dla firm. Nie jest to usługa, o której dużo się mówi, ale odgrywa kluczową rolę w marketingu prowadzonym przez e-mail. Firmy tego typu nie rozsyłają kampanii samodzielnie. Kontrolują listy adresów e-mail posiadane przez firmy marketingowe i sprawdzają, czy wszystkie zapisane na niej adresy działają, zwykle testując, czy skrzynka odbierze rozesłany spam. To z kolei przynosi oszczędności prowadzącym kampanię, pozwala obejść niektóre zabezpieczenia przeciwko kampaniom mailingowym i nie naraża reputacji serwerów rozsyłających kampanie.

Specjaliści znaleźli bazę 25 lutego 2019 roku i dali firmie Verifications.io czas na reakcję. Dostęp do samej bazy został szybko wyłączony, a ktoś reprezentujący firmę poinformował, że nie są to dane klientów, ale dane publiczne. To oczywiście bzdura. Vinny Troia znalazł w bazie swoje dane.

W chwili pisania artykułu nie działa także strona firmy, a dziennikarze nie są w stanie skontaktować się z jej szefem, Władem Striełkowem. Nie wiadomo też, gdzie firma ma siedzibę. Materiały prasowe pochodzą z Boca Raton na Florydzie, numer telefonu wskazuje na Dover w stanie Delaware, są też ścieżki prowadzące do Kalifornii, a na stronie widniały adresy… muzeów w Estonii. Osoby, z którymi wcześniej skontaktowali się badacze, odmówiły podania prawnych informacji o firmie i szybko zamilkły.

Nie wiemy na pewno, czy do danych uzyskały dostęp osoby niepowołane, ale zachowanie Verifications.io sugeruje, że ma coś na sumieniu. Możliwe, że ta firma nigdy formalnie nie istniała, a jej celem było przekazywanie danych dalej. Nie można wykluczyć, że baza była udostępniona bez hasła celowo, ale nikt nie przewidział, że dotrą do niej specjaliści. Pokazuje to też, jak marnie zabezpieczone są nasze dane – korporacje przesyłają je sobie pod byle pretekstem, być może w ogóle nie weryfikując tożsamości odbiorców.

Do akcji przyłączył się niezastąpiony Troy Hunt. Na jego stronie HaveIBeenPwnd dodane zostały już informacje z niezabezpieczonej bazy. Warto sprawdzić, czy wasze adresy e-mail się tam znalazły. Jeśli tak, możliwe, że wyciekły razem z innymi danymi osobowymi lub demograficznymi.