Vazamento massivo expôs 809 milhões de endereços de e-mail e outros registros

Pesquisadores de segurança revelaram a descoberta de um banco de dados MongoDB publicamente acessível que continha mais de 808 milhões de endereços de e-mail e outros registros em texto simples. O banco de dados teve o tamanho de 150 GB, deixando um cache de dados, incluindo algumas informações pessoalmente identificáveis, expostas para qualquer pessoa acessar. A violação foi vinculada a um serviço de verificação de e-mail que desde então colocou seu site on-line.

A descoberta foi feita por Bob Diachenko, da Security Discovery, que se juntou ao Vinny Troya da NightLion Security. De acordo com um relatório detalhando o vazamento, o banco de dados foi descoberto em 25 de fevereiro. Em seu post, Diachenko disse: "Após a verificação, fiquei chocado com o enorme número de e-mails que foram publicamente acessíveis para qualquer pessoa com uma conexão à Internet". >

O vazamento foi composto por 798 milhões de registros de e-mail, mais de 4 milhões de endereços de e-mail com números de telefone e mais de 6 milhões de informações identificadas como “businessLeads.” No total, mais de 808 milhões de registros foram deixados expostos o banco de dados, que os pesquisadores ligaram de volta a um site chamado Verifications.io.

Algumas informações nesses registros incluem coisas como e-mail, endereço IP do usuário, data de nascimento, código postal, endereço, sexo e número de telefone. Os registros foram determinados como “um conjunto de dados completamente exclusivo”, segundo os especialistas em segurança.

A descoberta foi relatada para Verifications.io, que então colocou seu site offline. De acordo com uma captura de tela do serviço, ela se especializou em "validação de e-mail corporativo", que aparentemente envolvia clientes fazendo upload de listas de endereços de e-mail para validação. O suporte da empresa respondeu aos pesquisadores com a confirmação de que havia garantido o banco de dados.

No e-mail, Verifications.io declarou, em parte, “Após uma inspeção mais detalhada, parece que o banco de dados usado para os anexos foi brevemente exposto. Este é o nosso banco de dados da empresa construído com informações públicas, não dados do cliente. ”

Diachenko expressou dúvidas sobre essa afirmação, no entanto, dizendo em seu post:

… então por que fechar o banco de dados e colocar o site offline se realmente fosse "público"? Além dos perfis de e-mail, esse banco de dados também tinha detalhes de acesso e uma lista de usuários (130 registros), com nomes e credenciais para acessar o servidor FTP para upload / download de listas de e-mail (hospedadas no mesmo IP com MongoDB). Podemos apenas especular que isso não foi feito para ser dados públicos.

Via: Slash Gear