763 mln adresów w bazie bez hasła i nieuchwytna firma. Jak tu nie mieć paranoi?

763 mln adresów w bazie bez hasła i nieuchwytna firma. Jak tu nie mieć paranoi?11.03.2019 11:31
736 mln adresów w bazie bez hasła i nieistniejąca firma

Specjaliści znaleźli niezabezpieczoną bazę danych, z której można było wydobyć 150 GB danych, w tym 763 mln adresy e-mail, a także dane osobowe i dane o firmach. Nad wyciekami danych, nawet ogromnymi, przeszliśmy już do porządku dziennego, ale tym warto się zainteresować niezależnie od miejsca zamieszkania. W bazie znajdowało się ponad 250 mln adresów e-mail, które wcześniej nie trafiły w ręce przestępców i możliwe, że są tam także dane Polaków.

Badacze Bob Diachenko z Security Discovery i Vinny Troia z Night Lion Security znaleźli publicznie dostępną bazę danych. W niezabezpieczonej hasłem bazie, działającej pod kontrolą popularnego systemu zarządzania danymi MongoDB, znajdowało się 150 GB danych tekstowych. Wśród nich były 763 miliony unikatowych adresów e-mail i szczegółowe informacje dotyczące kampanii marketingowych. Są to dane dotyczące pojedynczych klientów i działalności wielu firm – zarobki, liczba pracowników, dane kontaktowe, obszary działania itp.

809 mln wpisów, 250 mln zupełnie nowych

W sumie w bazie znajdowało się 809 mln wpisów. Poza adresami e-mail były tam też numery telefonów, imiona, nazwiska, adresy fizyczne i sporo danych demograficznych: płeć, wiek, informacje o kredytach, historii kredytowej i zadłużeniu, konto na Facebooku, Instagramie i LinkedInie. Szczęście w nieszczęściu, że w tej ogromnej bazie nie było haseł, ich skrótów, ani informacji o kartach płatniczych. Vinny Troia spekuluje, że mogła to być baza adresów dostarczonych przez wszystkich klientów, ale nie ma pewności.

Znalezisko jest nie tylko ogromne, ale też niezwykłe. Z 763 mln unikatowych adresów e-mail ponad 250 milionów nie znajdowało się na dostępnych już listach, wystawianych na sprzedaż w darknecie. 35 proc. adresów e-mail z tej bazy było z punktu widzenia cyberprzestępców zupełnie nowym towarem. Ponadto dostęp do danych o działalności firm może posłużyć jako podstawa dla nowych ataków phishingowych i oszustw.

Przykładowy wpis z niezabezpieczonej bazy / https://securitydiscovery.com
Przykładowy wpis z niezabezpieczonej bazy / https://securitydiscovery.com

Verifications.io zapadła się pod ziemię

Baza należała do Verifications.io, świadczącej usługi potwierdzania adresów e-mail dla firm. Nie jest to usługa, o której dużo się mówi, ale odgrywa kluczową rolę w marketingu prowadzonym przez e-mail. Firmy tego typu nie rozsyłają kampanii samodzielnie. Kontrolują listy adresów e-mail posiadane przez firmy marketingowe i sprawdzają, czy wszystkie zapisane na niej adresy działają, zwykle testując, czy skrzynka odbierze rozesłany spam. To z kolei przynosi oszczędności prowadzącym kampanię, pozwala obejść niektóre zabezpieczenia przeciwko kampaniom mailingowym i nie naraża reputacji serwerów rozsyłających kampanie.

Specjaliści znaleźli bazę 25 lutego 2019 roku i dali firmie Verifications.io czas na reakcję. Dostęp do samej bazy został szybko wyłączony, a ktoś reprezentujący firmę poinformował, że nie są to dane klientów, ale dane publiczne. To oczywiście bzdura. Vinny Troia znalazł w bazie swoje dane.

W chwili pisania artykułu nie działa także strona firmy, a dziennikarze nie są w stanie skontaktować się z jej szefem, Władem Striełkowem. Nie wiadomo też, gdzie firma ma siedzibę. Materiały prasowe pochodzą z Boca Raton na Florydzie, numer telefonu wskazuje na Dover w stanie Delaware, są też ścieżki prowadzące do Kalifornii, a na stronie widniały adresy… muzeów w Estonii. Osoby, z którymi wcześniej skontaktowali się badacze, odmówiły podania prawnych informacji o firmie i szybko zamilkły.

Nie wiemy na pewno, czy do danych uzyskały dostęp osoby niepowołane, ale zachowanie Verifications.io sugeruje, że ma coś na sumieniu. Możliwe, że ta firma nigdy formalnie nie istniała, a jej celem było przekazywanie danych dalej. Nie można wykluczyć, że baza była udostępniona bez hasła celowo, ale nikt nie przewidział, że dotrą do niej specjaliści. Pokazuje to też, jak marnie zabezpieczone są nasze dane – korporacje przesyłają je sobie pod byle pretekstem, być może w ogóle nie weryfikując tożsamości odbiorców.

Dane z Verifications.io są na HaveIBeenPwnd

Do akcji przyłączył się niezastąpiony Troy Hunt. Na jego stronie HaveIBeenPwnd dodane zostały już informacje z niezabezpieczonej bazy. Warto sprawdzić, czy wasze adresy e-mail się tam znalazły. Jeśli tak, możliwe, że wyciekły razem z innymi danymi osobowymi lub demograficznymi.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na