先週、セキュリティ研究者のボブ・ディアチェンコとヴィニー・トロイアは、 7億6300万のユニークな電子メールアドレスを含む150ギガバイトのクリアテキストマーケティング情報を含む安全でないMongoDBデータベースを発見しました 。 発見は巨大であるだけでなく、珍しいことでもあります。 個々の顧客に関するデータと、従業員やさまざまな企業の収入に関するデータなどの「ビジネス情報」が含まれています。 この多様性は、情報源、つまり、Verification.ioが所有するデータベースであり、電子メールアドレスを「検証」することができます。 研究者が会社にそのことを知らせたのと同じ日に、基地は切断されました。
おそらく聞いたことがないかもしれませんが、そのような企業は電子マーケティング業界で重要な役割を果たしています。 彼らは彼らに代わってマーケティングメールを送信せず、自動化されたメールを送信しません。 代わりに、顧客リストをチェックして、リスト内の電子メールアドレスが有効であり、エラーで返されないことを確認します。 ただし、メールアドレスが機能していることを完全にチェックするには、このアドレスにメッセージを送信し、配信されたことを確認する必要があります-本質的にスパムを人々に送信します。 これは、ISPやGmailなどのプラットフォームのブロックを回避することを意味します。 (電子メールアドレスを検証する粗雑な方法はそれほどありませんが、誤検出とのトレードオフがあります。)主要な電子メールプロバイダーは、インフラストラクチャをブラックリストに載せるリスクよりも、この作業を外部委託することがよくあります。
「会社にはメーリングリストがあり、メーリングリストへの郵送を開始したいと考えていますが、彼らがどれだけ信頼できるかはわかりません」とNight Lion Securityの創設者であるTroia氏は述べています。 「つまり、彼らは本質的にスパムを送信する会社に行きます。」 Troiaは、Verification.ioクライアントからのすべてのデータが含まれているため、データベースは非常に大きく多様である可能性があることを示唆しています。 WIREDは数日間、会社またはCEOのVlad Strelkovに連絡できませんでした。 月曜日に、Verification.io Webサイトはオフになり、それ以降復元されていません。 ( インターネットアーカイブに約translでコピーします。 )
Verification.ioデータベースの合計809百万のエントリには、名前、電子メールアドレス、電話番号、物理アドレスなどの標準情報が含まれています。 しかし、多くには、性別、生年月日、住宅ローンの規模、金利、電子メールアドレスに関連付けられたFacebook、LinkedIn、Instagramのアカウント、および人々の信用格付けの特性(平均、平均以上など)などの情報も含まれています.d。)。 一方、データベースの他のエントリは、会社名、年間収益、ファックス番号、会社のWebサイト、および会社分類の業界識別子(「SIC」および「NAIC」コード)を含むB2B売上に関連しているようです。
データには社会保障番号やクレジットカード番号は含まれておらず、データベース内のパスワードはVerification.io独自のインフラストラクチャ用です。 一般に、ほとんどのデータはさまざまなソースから公開されていますが、犯罪者が大量の集計データを手に入れることができる場合、犯罪者が新しい詐欺スキームを立ち上げたり、ターゲットデータベースを拡張したりするのがはるかに容易になります。
オープンデータベースで、研究者は、検証メールアカウント、数百のSMTPサーバー(メール送信)、テキストメール、スパム対策インフラストラクチャ、回避すべきキーワードなど、Verification.ioの内部ツールの一部も見つけました。ブラックリストに登録するためのIPアドレス。 Diachenkoは、Verification.ioクライアントが検証する電子メールアドレスを含むExcelスプレッドシートをダウンロードし、Verification.ioがテストを実行して、職場のアドレスとエラーで回答したアドレスのリストを返すと想定しています。 データの断片化とそれらが多くの異なるExcelファイルからインポートされたという証拠を考えると、Verification.ioは電子メールアドレスをチェックした後、クライアントから受信したデータの一部またはすべてを保持することもできます。
研究者は、Verification.ioの顧客としてリストされている会社でサンプルデータをチェックしました。 Troiaは、自身の情報がデータベースに登場したと言います。 WIREDは、電子メールマーケティング会社の所有者と話をしました。 彼はデータの正確性を確認した。 WIREDも4人をチェックしましたが、リストには見つかりませんでした。 また、ディアチェンコとトロイアは、Verification.ioデータが公開されたときに誰かがそれを見つけたかどうかを知る方法がないことにも注目しています。 「私以外の誰かがこれにアクセスできるかどうかはわかりません」とトロイアは言います。 「しかし、誰でもダウンロードできることは間違いありませんでした。」
セキュリティ研究者のTroy Huntは、Verification.ioデータをHaveIBeenPwnedサービスに追加しました。これは、データがリークによって侵害されているかどうかを確認するのに役立ちます。 彼は、7億6300万のメールアドレスの35%がHaveIBeenPwnedデータベースにとって新しいものだと言いました。 Verification.ioダンプは、HoveIBeenPwnedにこれまでに追加された2番目に大きいものであり、今年初めに追加された773百万件以降の電子メールアドレスのコレクション#1として知られています。 ハントは、自身の情報の一部がVerification.ioデータベースに含まれていると言います。
「私にとっての主な結論は、これは誰かが私のデータと何億もの他の人のデータを持っているという別のケースであり、どうやってそれを手に入れたかは絶対にわかりません」とハントは言います。 「これまで会社のことを聞いたことはありません。私のデータを使用することに同意したかどうかは確かに思い出せません。 もちろん、一部のサービス利用規約でこのようにデータを使用できると言われている可能性は十分にありますが、これはデータの使用方法に関する期待を完全には満たしていません。」
提示されたデータの断片化された性質Verification.ioは、データ業界全体の混oticとした状態について述べています。 個人情報は、Facebookなどの巨大企業に転送されたり、疑わしいマーケターによって売買されたり、データの巨人から盗まれたりして、犯罪フォーラムの煉獄で延々と広がる運命にあります。 ユーザーは、誰がデータを持ち、どこにあるかを制御することがより困難になります。 ハントが言うように:「残念なことに、これはインターネット上でのちょうど別の日です。」
翻訳者への注意-これはHabréでの最初の翻訳です。個人的なメッセージの誤りや不正確さをお知らせください。