E-Mail-Marketingfirma verliert 150 GByte Nutzerdaten

Die Marketingfirma Verifications.io hat eine 150 GByte Nutzerdaten verloren. Die Sicherheitsforscher Bob Diachenko und Vinny Troia entdeckten einem Bericht von Ars Technica zufolge in der vorletzten Woche in einer ungesicherten und öffentlich zugänglichen MongoDB-Datenbank unter anderem mehr als 800 Millionen eindeutige E-Mail-Adressen. Ihren Fund machten sie Ende vergangener Woche öffentlich.

„Die Datenbank enthielt vier einzelne Datensammlungen mit zusammen 808.539.939 Daten“, heißt es in Diachenkos Blog Security Discovery. „Der größte Teil hatte den Namen ‚mainEmailDatabase‘ – und darin waren drei Ordner enthalten: Emailrecords, EmailWithPhone und BusinessLeads.“

In dem ersten Ordner waren 798.171.891 Datensätze hinterlegt, darunter neben E-Mail-Adressen auch Postleitzahlen, IP-Adressen und Angaben zum Geschlecht der Nutzer. E-Mail-Adressen mit Telefonnummern gab es indes von rund 4,15 Millionen Nutzern. Der Ordner BusinessLeads wiederum hielt mehr als 6,2 Millionen Daten vor.

Ein Abgleich mit der Datenbank „HaveIBeenPwned“ des Sicherheitsexperten Troy Hunt ergab zudem, dass die Verifications.io gesammelten Daten nicht aus bereits bekannten Lecks oder Datendiebstählen stammen. Das Unternehmen bietet Firmen an, die Echtheit von E-Mail-Adressen zu überprüfen.

Die Datenbank wurde den Forschern zufolge unmittelbar, nachdem der Besitzer über das Problem informiert wurde, abgeschaltet. In einer Stellungnahme, die Diachenko vorliegt, betont Verifications.io, dass es sich um „unsere Unternehmensdatenbank mit öffentlich verfügbaren Informationen“ handelte, und „nicht um Kundendaten“. Das Unternehmen setzt also offenbar E-Mail-Adressen, die es überprüft hat, generell mit öffentlich verfügbaren Daten gleich.

Für die Überprüfung einer Adresse verschickt Verifications.io laut Diachenko über eigene E-Mail-Server und Konten Nachrichten an E-Mail-Adressen seiner Kunden. Löst die Nachricht keine „Bounce“-Fehlermeldung aus, sprich weist der empfangende Mailserver die Nachricht nicht als unzustellbar ab, gilt die E-Mail-Adresse als überprüft. Der Forscher leitet daraus ab, dass solche Dienste auch für Cyberkriminelle interessant sein könnten, die massenhaft die Gültigkeit von E-Mail-Adressen oder auch nur einzelne Empfänger innerhalb eines Unternehmens prüfen wollen.

Ars Technica weist darauf hin, dass die Website von Verifications.io inzwischen abgeschaltet wurde. Viele der in der Datenbank gespeicherten Daten seien zwar tatsächlich öffentlich verfügbar und möglicherweise aus verschiedenen Quellen zusammengetragen vor, in dieser Form sei die Datenbank jedoch auch für Cyberkriminelle von großem Wert. Beide Forscher hätten jedoch betont, es lasse sich nicht beweisen, ob außer ihnen weitere Personen auf die Daten zugegriffen haben.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Tagen ago