【猎云网(微信号:ilieyun)】3月8日报道 (编译:金怡琳)
到目前为止,你很有可能发现你的个人数据可能会被暴露在各种意想不到的互联网角落中。可是随着人们意识的提高,这种情况并没有得到改善。而且事实上,它正变得更加严重与混乱。
上周,信息安全研究人员Bob Diachenko和Vinny Troia发现了一个不受保护的、可公开访问的MongoDB数据库,其中包含了150 GB的详细营销数据,以及7.63亿个不同的电子邮箱地址。到今天,这对伙伴将他们的发现公之于众。这些“数据宝藏”不仅数量巨大,而且非同寻常;它不仅包含了个人消费者的数据,而且还有类似“商业情报”的数据,比如来自不同公司的员工和收入数据。数据的多样性可能源于信息来源的广泛。该数据库为电子邮件验证公司Verifications.io所有,而就在Diachenko向该公司报告此事的同一天,该数据库就被下线了。
虽然你可能从未听说过验证公司,但是它们在电子邮件的营销行业中扮演着至关重要的角色。他们不会以自己的名义发送营销电子邮件,也不会为自动化群发电子邮件提供便利。相反,他们审查客户的邮件列表,以确保其中的电子邮件地址是有效的。一些电子邮件的营销公司在内部提供这种机制。但是,要完全验证电子邮件地址的有效性,就需要向该地址发送一条消息,并确认它已被发送——本质上是在向人们发送垃圾邮件。这就意味着要规避互联网服务提供商和平台(如Gmail)的保护。(验证公司用来验证电子邮件地址的侵入性手段较少,但他们也存在着误报的可能。)主流的电子邮件营销公司通常会将这项工作外包出去,而不会让其基础设备承担被垃圾邮件过滤器列入黑名单或线上声誉降低的风险。
“一般的公司有电子邮件列表,但他们不确定其地址的有效性,”Night Lion Security的创始人Troia表示,“所以他们向一家专门发送垃圾邮件的公司求助。”Troia推测,但尚未证实,他们的数据库能如此庞大和多样,是因为包含Verification.io所有客户的数据。在接下来的几天里,该公司或其首席执行官Vlad Strelkov拒绝置评。而周一,Verifications.io网站的内容全部下线,至今尚未恢复。
信息来源
总体上,Verifications.io“数据宝藏”中的8.09亿总记录包括了一些标准信息,如姓名、电子邮件地址、电话号码和居住地址。但其中也包括性别、出生日期、个人抵押贷款金额、利率、Facebook、LinkedIn和Instagram账户与电子邮件地址相关的事项,以及人们的信用评分等级(比如平均、高于平均,等等)。与此同时,该数据库中的其他记录似乎与企业销售行为有关,包括公司名称、年收入、传真号码、公司网站,以及分类公司时所用的“SIC” 和“NAIC”之类的行业标识符。
这些数据不包含社会保险号或信用卡号,而且数据库中唯一的密码只用于连接Verifications.io的基础设备。总体而言,大多数数据都是从各种来源公开获取的,但当犯罪分子能够获得大量汇总的个人信息时,他们就更容易实施新的社交骗局,或扩大其目标对象。
“除此之外,还有另外一种情况:别人拥有我的数据,还有其他数亿人的数据,而我却完全不知道他们是如何获得的。”
在公开的数据库中,研究人员还发现了一些似乎是Verifications.io的内部工具,如测试电子邮件的账户、数百台SMTP(电子邮件发送)服务器、电子邮件文本、反垃圾邮件规避基础设备、要避免的关键字信息以及进入黑名单的IP地址。Diachenko建议Verifications.io在工作流程中,客户可以上传一份包含需验证的电子邮件地址的Excel表格,然后Verifications.io根据表格进行测试,最后向客户回复哪些是有效的邮箱地址,或哪些是无效的。鉴于数据的零碎性和导入大量不同Excel文件的复杂性,Verifications.io还可以保留其在完成电子邮件地址检验后从客户处收到的部分或全部数据。
研究人员验证了一些被列为Verifications.io客户的数据样本。Troia表示他自己的信息也出现在数据库中。某电子邮件营销公司的老板确认了其中一些数据的有效性,但另外四个人的信息并没有在列表中出现。Diachenko和Troia还指出,他们无法知道是否有人在数据库公开发布和完全暴露的情况下,发现并下载了Verifications.io的数据。
“除了我们,我不知道是否还有其他人访问过这个网站,”Troia表示,“但它是任何人都能够获取的。”
互联网世界中普通的一天
关于数据库和Verifications.io,还有许多未知之处,因为该公司很难追踪。当研究人员最初通过该公司网站中的一个信息门户与该公司联系,披露其数据库的暴露情况时,有人回复了一封未署名的信息。“谢谢您向我们反映这个问题。非常感谢您的联系和告知。这是我们公司以公共信息建立的数据库,而不是客户的数据库。而且我们能够快速保护这些数据。”可这恰恰表明,就算有12年的经验,他们也不该放松警惕。
数据库中的大部分数据都是公开的,但不清楚是否所有的数据都是公开的。当研究人员在门户网站上询问该公司所有者的姓名和公司的法定名称时,有人回复拒绝回答。
目前尚不清楚Verifications.io的总部在哪。它的大部分资料都在佛罗里达州的博卡拉顿,但它的一些网络资产是在加利福尼亚州和特拉华州注册的。Verifications.io网站列出了其在爱沙尼亚的地址,但其中一些地址与当地的博物馆和政府大楼相匹配。
安全研究员Troy Hunt正在将Verifications.io的数据添加到他名为HaveIBeenPwned的公共服务系统中,该系统可帮助人们检查他们的信息数据是否在泄露中受到了损害。他表示,在这个拥有7.63亿个电子邮件地址的宝库中,有35%是新添加到HaveIBeenPwned数据库中的。就电子邮件地址的数量而言,Verifications.io数据转储也是有史以来第二大添加到HaveIBeenPwned中进行检验的数据,仅次于今年早些时候添加的名为Collection 1数据库中的7.73亿数据。Hunt表示,他自己的一些信息也已被Verifications.io曝光。
Hunt表示:“对我来说最关键的是,别人拥有我的数据,还有其他数亿人的数据,而我却完全不知道他们是如何获得的。我从来没有听说过这家公司,我当然也不记得曾同意让他们使用我的数据。当然,完全有可能是其他服务的条款允许他们以这种方式传递我的数据的,但这与我对数据使用的期望并不完全一致。”
与业务数据聚合器Apollo和营销公司Exactis最近发生的数据泄露一样,当从公共和私有源聚合的大量数据库产生泄露时,你无法只保护自己。你可以用HaveIBeenPwned系统来检查您的数据是否在Verifications.io中,并继续保持警惕;你可以使用复杂特殊的密码,可以监控财务报表,并尽可能不提供您的社会保险号码。但你也该知道这些措施都没有为这个社会问题提供完整的解决方案。
Verifications.io的数据曝光所反映的脱节现象说明了整个数据行业的混乱状态。人们的私人信息由Facebook这样的大公司共享,被见不得人的营销人员肆意买卖,或直接从数据巨头那里窃取,最终沦落于犯罪分子的集团,进行无休止地传播。这种数据的流失使得消费者很难控制他们个人数据的拥有者,以及数据的去向。正如Hunt所说:“遗憾的是,这仅仅只是互联网世界里普通的一天。”