Die Marketingfirma Verifications.io hat eine 150 GByte Nutzerdaten verloren. Die Sicherheitsforscher Bob Diachenko und Vinny Troia entdeckten einem Bericht von Ars Technica zufolge in der vorletzten Woche in einer ungesicherten und öffentlich zugänglichen MongoDB-Datenbank unter anderem mehr als 800 Millionen eindeutige E-Mail-Adressen. Ihren Fund machten sie Ende vergangener Woche öffentlich.
„Die Datenbank enthielt vier einzelne Datensammlungen mit zusammen 808.539.939 Daten“, heißt es in Diachenkos Blog Security Discovery . „Der größte Teil hatte den Namen ‚mainEmailDatabase‘ – und darin waren drei Ordner enthalten: Emailrecords, EmailWithPhone und BusinessLeads.“
In dem ersten Ordner waren 798.171.891 Datensätze hinterlegt, darunter neben E-Mail-Adressen auch Postleitzahlen, IP-Adressen und Angaben zum Geschlecht der Nutzer. E-Mail-Adressen mit Telefonnummern gab es indes von rund 4,15 Millionen Nutzern. Der Ordner BusinessLeads wiederum hielt mehr als 6,2 Millionen Daten vor.
Ein Abgleich mit der Datenbank „HaveIBeenPwned“ des Sicherheitsexperten Troy Hunt ergab zudem, dass die Verifications.io gesammelten Daten nicht aus bereits bekannten Lecks oder Datendiebstählen stammen. Das Unternehmen bietet Firmen an, die Echtheit von E-Mail-Adressen zu überprüfen.
Die Datenbank wurde den Forschern zufolge unmittelbar, nachdem der Besitzer über das Problem informiert wurde, abgeschaltet. In einer Stellungnahme, die Diachenko vorliegt, betont Verifications.io, dass es sich um „unsere Unternehmensdatenbank mit öffentlich verfügbaren Informationen“ handelte, und „nicht um Kundendaten“. Das Unternehmen setzt also offenbar E-Mail-Adressen, die es überprüft hat, generell mit öffentlich verfügbaren Daten gleich.
Für die Überprüfung einer Adresse verschickt Verifications.io laut Diachenko über eigene E-Mail-Server und Konten Nachrichten an E-Mail-Adressen seiner Kunden. Löst die Nachricht keine „Bounce“-Fehlermeldung aus, sprich weist der empfangende Mailserver die Nachricht nicht als unzustellbar ab, gilt die E-Mail-Adresse als überprüft. Der Forscher leitet daraus ab, dass solche Dienste auch für Cyberkriminelle interessant sein könnten, die massenhaft die Gültigkeit von E-Mail-Adressen oder auch nur einzelne Empfänger innerhalb eines Unternehmens prüfen wollen.
Ars Technica weist darauf hin, dass die Website von Verifications.io inzwischen abgeschaltet wurde. Viele der in der Datenbank gespeicherten Daten seien zwar tatsächlich öffentlich verfügbar und möglicherweise aus verschiedenen Quellen zusammengetragen vor, in dieser Form sei die Datenbank jedoch auch für Cyberkriminelle von großem Wert. Beide Forscher hätten jedoch betont, es lasse sich nicht beweisen, ob außer ihnen weitere Personen auf die Daten zugegriffen haben.
CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement