Sono trascorse solo alcune settimane dalla scoperta del leak Collection che ha esposto email e password di oltre due miliardi di utenti ed ecco che ci troviamo a scrivere nuovamente di un problema di sicurezza che riguarda potenzialmente tutti noi: questa volta finisce al centro dell’attenzione un enorme database da 150 GB contenente oltre 800 milioni di indirizzi, per la precisione 808.539.939.
800 milioni di email in 150 GB
A parlarne sono i ricercatori di Security Discovery, che affermano di aver trovato l’archivio privo di qualsiasi misura di protezione: niente password né crittografia. Al suo interno le informazioni sono raccolte in quattro macrocategorie. La più grande prende il nome di “mailEmailDatabase” e a sua volta include altri tre database: “Emailrecords”, “emailWithPhone” e “businessLeads”. Tra i dati presenti anche codici di avviamento postale, numeri di telefono, indirizzi delle abitazioni, sesso e IP.
Il 25 febbraio 2019 ho scoperto un’istanza di MongoDB da 150 GB non protetta da password. È forse il più grande database di email di cui abbia mai parlato. In seguito a verifiche sono rimasto scioccato dall’enorme volume di email accessibili pubblicamente da chiunque in possesso di una connessione Internet. In alcuni casi non si trattava solo di indirizzi email, ma anche di informazioni che identificano i proprietari.
Il servizio Verifications.io
Un controllo incrociato con HaveIBeenPwned ha permesso di scoprire che non si tratta della parte di un archivio già in circolazione, bensì di un leak completamente inedito e per questo motivo potenzialmente ancor più pericoloso per gli utenti coinvolti. La responsabilità è stata attribuita a Verifications.io, società che offre un servizio di validazione delle email per l’ambito enterprise. Al momento il sito ufficiale risulta irraggiungibile, ma è comunque possibile accedere alla versione online fino a qualche giorno fa.
Validazione o spam?
Il servizio di validazione offerto da Verifications.io ai suoi clienti permette a questi ultimi di caricare elenchi di indirizzi email e di conoscere quali sono attivi. La lista così ottenuta può, ad esempio, essere impiegata per campagne di marketing (che siano autorizzate o meno è un discorso differente). Il controllo viene effettuato inviando a ognuna delle caselle un messaggio, anche contenente un semplice “Hello”, in modo da sapere se giunge a destinazione oppure se viene rimbalzato dal server di posta poiché l’account è inesistente o non più attivo. Una pratica che può essere etichettata come il più classico degli spam.
L’azienda, dopo essere stata messa al corrente dell’accaduto, ha risposto a Security Discovery confermando il problema e affermando di avervi posto rimedio. Ciò non toglie che l’archivio sia rimasto accessibile pubblicamente per un lasso di tempo che al momento non sembra possibile stabilire. Riportiamo di seguito e in forma tradotta una parte del messaggio.
Abbiamo rapidamente messo al sicuro il database. Anche con dodici anni di esperienza, non si può mai abbassare la guardia. In seguito a un’indagine approfondita, pare che il database sia stato esposto per breve tempo. L’archivio è stato popolato con informazioni di natura pubblica, non con quelle dei clienti.
La risposta fa riferimento a informazioni pubbliche, ma Security Discovery afferma di aver trovato all’interno del database le credenziali di accesso ad alcuni server FTP che, si presume, i legittimi proprietari non vorrebbero veder circolare liberamente sul Web.