Die Marketingfirma Verifications.io hat eine 150 GByte Nutzerdaten verloren. Die Sicherheitsforscher Bob Diachenko und Vinny Troia entdeckten einem Bericht von Ars Technica zufolge in der vorletzten Woche in einer ungesicherten und öffentlich zugänglichen MongoDB-Datenbank unter anderem mehr als 800 Millionen eindeutige E-Mail-Adressen. Ihren Fund machten sie Ende vergangener Woche öffentlich.
In dem ersten Ordner waren 798.171.891 Datensätze hinterlegt, darunter neben E-Mail-Adressen auch Postleitzahlen, IP-Adressen und Angaben zum Geschlecht der Nutzer. E-Mail-Adressen mit Telefonnummern gab es indes von rund 4,15 Millionen Nutzern. Der Ordner BusinessLeads wiederum hielt mehr als 6,2 Millionen Daten vor.
Ein Abgleich mit der Datenbank „HaveIBeenPwned“ des Sicherheitsexperten Troy Hunt ergab zudem, dass die Verifications.io gesammelten Daten nicht aus bereits bekannten Lecks oder Datendiebstählen stammen. Das Unternehmen bietet Firmen an, die Echtheit von E-Mail-Adressen zu überprüfen.
Die Datenbank wurde den Forschern zufolge unmittelbar, nachdem der Besitzer über das Problem informiert wurde, abgeschaltet. In einer Stellungnahme, die Diachenko vorliegt, betont Verifications.io, dass es sich um „unsere Unternehmensdatenbank mit öffentlich verfügbaren Informationen“ handelte, und „nicht um Kundendaten“. Das Unternehmen setzt also offenbar E-Mail-Adressen, die es überprüft hat, generell mit öffentlich verfügbaren Daten gleich.
Für die Überprüfung einer Adresse verschickt Verifications.io laut Diachenko über eigene E-Mail-Server und Konten Nachrichten an E-Mail-Adressen seiner Kunden. Löst die Nachricht keine „Bounce“-Fehlermeldung aus, sprich weist der empfangende Mailserver die Nachricht nicht als unzustellbar ab, gilt die E-Mail-Adresse als überprüft. Der Forscher leitet daraus ab, dass solche Dienste auch für Cyberkriminelle interessant sein könnten, die massenhaft die Gültigkeit von E-Mail-Adressen oder auch nur einzelne Empfänger innerhalb eines Unternehmens prüfen wollen.
Ars Technica weist darauf hin, dass die Website von Verifications.io inzwischen abgeschaltet wurde. Viele der in der Datenbank gespeicherten Daten seien zwar tatsächlich öffentlich verfügbar und möglicherweise aus verschiedenen Quellen zusammengetragen vor, in dieser Form sei die Datenbank jedoch auch für Cyberkriminelle von großem Wert. Beide Forscher hätten jedoch betont, es lasse sich nicht beweisen, ob außer ihnen weitere Personen auf die Daten zugegriffen haben.
Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…