In rete esiste un database senza password con 809 milioni di email al suo interno

In rete esiste un database senza password con 809 milioni di email al suo interno

La scorsa settimana i ricercatori informatici Bob Diachenko e Vinny Troia hanno rilevato su internet un database MongoDB memorizzato in chiaro (e senza alcuna crittografia nè password), contenente al proprio interno circa 150 GB di indirizzi email: tra i dati presenti si trovavano anche informazioni su importi di mutui e valutazioni del rischio di credito (credit rating). Non è la prima volta che enormi database di email finiscono online e diventano utilizzabili da chiunque (spammer inclusi): ma in questo caso si tratta di informazioni di business intelligence relative ad impiegati e figure rilevanti di varie aziende, che potrebbero non essere molto aggiornate ma che pongono comunque un serio problema di privacy degli utenti.

Le informazioni sembrano risalire al servizio Verifications.io (ad oggi dismesso, ma presente su web.archive.org) e contengono record dettagliati con informazioni sulla data di nascita, indirizzo email, sesso, posizione geografica, impiego, indirizzi IP, nome, numero di telefono ed indirizzo fisico (non sono incluse password nei dati, se non altro). Come confermato dai ricercatori e dal servizio di Troy Hunt haveibeenpwned.com il fatto risalirebbe ad una exfiltration (furto di dati sensibili) subito dal sito in questione, dovuto all’instanza di MongoDB che sarebbe rimasta online in chiaro, senza essere protetta.

Vale la pena approfondire, poi, il ruolo del servizio in questione nel mail marketing: i validator non sono altro che servizi ausiliari, noti agli addetti ai lavori ed utilizzati da chi manda pubblicità via email. Il tutto in modo da garantire un tasso di consegna più alto, massimizzando le possibilità che le mail siano realmente esistenti ed utilizzate. Alcuni servizi di invio di mail, in effetti, offrono questa verifica integrata direttamente nei loro servizi, anche se poi tendono ad esternalizzarla per non essere messi direttamente in blacklist dai servizi antispam (che tendono a bannare indirizzi IP anche in modo definitivo, a volte: se un IP è condiviso, ad esempio, è praticamente certo che le mail inviate mediante esso finiscano in spam, come mi è stato confermato via email dal team di Spamhaus, una società che si occupa di mail spam. Per chi volesse inviare email pubblicitarie in modo sicuro, in questi casi, la soluzione è quella di usare un mail server dedicato).

Web Hosting
Pubblicità:

(fonte)


Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.
Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

In rete esiste un database senza password con 809 milioni di email al suo interno

Votato 10 / 10, da 1 utenti