Над 2 млрд. мейла оставени достъпни за „всеки с връзка с интернет“
Пропуск в защитата на компанията е довел до възможност за достъп до бази с лични данни като мейл адреси и телефони с общ обем близо 200 гигабайта
База данни с обем 196 гигабайта или близо 2.07 млрд. записа, сред които имейли и телефони, е била разкрита от два различни анализатора, съобщава WeLiveSecurity.
Първи за новината съобщава Боб Диаченко. Той е разкрил незащитен MongoDB сървър, на който са съхранявани 808 млн. записа, достъпни за „всеки с достъп до интернет“, както пише анализатора в блога си. Самият сървър е собственост на Verifications.io – компания, чийто бизнес е валидация на имейл адреси.
След като Диаченко съобщава за пробива, компанията сваля базата данни на 8 март – в а последствие (и по времето на писането на този текст) спира достъпа и до целия си уебсайт.
Малко след публикацията от миналата седмица, други анализатори – от DynaRIsk продължават разследването и разкриват, че реалният брой компрометирани лични данни е значително по-висок. Причината: Диаченко е разкрил само една от засегнатите бази данни. Според най-новата информация по случая, общият обема информация е 2.07 млрд. записа или общо 196 гигабайта данни.
Само в едната база се съхранява следната информация:
- emailrecords = 798 171 891 записа
- emailWithPhone = 4 150 600 записа
- businessLeads = 6 217 358 записа
В голяма част от случаите имейл адресите идват с имената, акаунтите в социални медии, телефонни номера, рожденни дни, пощенски кодове и данни от кредитни регистри, взети ипотеки, лихви за взетите ипотеки и други данни на собствениците си. В част от засегнатите акаунти е публикувана информация и за приходите на компаниите, за които работят притежателите на имейлите.
Пароли, номера на социални осигуровки (американският еквивалент на ЕГН) и данни за лични карти не са достъпни.
И за разлика от нашумелия случай с Collection#1, в този случай записите не са просто сбор от вече публикувани бази данни с източени акаунти. Става въпрос за непубликувани до момента акаунти, които са били публично достъпни за неизвестен период от време.
Дали вашият имейл е сред публикуваните може да разберете в haveibeenpwned.com. Над 30% от публикуваните имейли не са били налични в глобалната база данни с източени лични данни, събирана от анализатора Трой Хънт.
Самата компания Verifications.io предлага услуга, която позволява на клиентите ѝ да намалят непотребното съдържание в базите си данни с контакти на клиенти, като сравнява въведените такива от служители или от самите клиенти със собствените си бази данни – и по този начин предотвратява въвеждането на невалидни адреси, телефони и др.