Vazamento maciço exposto 809 milhões de endereços de e-mail e outros registros

Pesquisadores de segurança divulgaram a descoberta de um banco de dados MongoDB acessível ao público que continha mais de 808 milhões de endereços de email e outros registros em texto simples. O banco de dados atingiu o tamanho de 150 GB, deixando um cache de dados, incluindo algumas informações de identificação pessoal, expostas para qualquer pessoa acessar. A violação foi vinculada a um serviço de verificação de e-mail que desde então colocou o site on-line.

A descoberta foi feita por Bob Diachenko, do Security Discovery, que se uniu a Vinny Troya do NightLion Security. De acordo com um relatório detalhando o vazamento, o banco de dados foi descoberto em 25 de fevereiro. Em seu post, Diachenko disse: “Após a verificação, fiquei chocado com o grande número de e-mails acessíveis ao público para qualquer pessoa com conexão à Internet”.

O vazamento foi composto por 798 milhões de registros de email, mais de 4 milhões de endereços de email com números de telefone e mais de 6 milhões de informações identificadas como “businessLeads”. No total, mais de 808 milhões de registros foram deixados expostos no banco de dados, que os pesquisadores vincularam a um site chamado Verifications.io.

Algumas informações contidas nesses registros incluem itens como email, endereço IP do usuário, data de nascimento, CEP, endereço, sexo e número de telefone. Os registros foram determinados como “um conjunto de dados completamente exclusivo”, de acordo com os especialistas em segurança.

A descoberta foi relatada ao Verifications.io, que colocou o site offline. De acordo com uma captura de tela do serviço, ele era especializado em “validação de email corporativo”, que aparentemente envolvia clientes enviando listas de endereços de email para validação. O suporte da empresa respondeu aos pesquisadores com a confirmação de que havia protegido o banco de dados.

No email, Verifications.io declarou, em parte: “Após uma inspeção mais detalhada, parece que o banco de dados usado para anexos foi exposto brevemente. Este é o banco de dados da nossa empresa construído com informações públicas, não dados de clientes. ”

Diachenko expressou dúvidas sobre essa afirmação, no entanto, dizendo em seu post:

… então, por que fechar o banco de dados e colocar o site offline, se realmente era “público”? Além dos perfis de email, esse banco de dados também tinha detalhes de acesso e uma lista de usuários (130 registros), com nomes e credenciais para acessar o servidor FTP para carregar / baixar listas de email (hospedadas no mesmo IP do MongoDB). Podemos apenas especular que isso não foi feito para ser dados públicos.