سرقت آدرس ایمیل و اطلاعات بیش از 800 میلیون کاربر

یکی از متخصصان امنیت اطلاعات به تازگی یک مورد پایگاه داده حفاظت نشده با حجم 150GB کشف کرد که بنا به گفته وی، بزرگترین پایگاه داده حاوی ایمیل است که تا به حال کشف و گزارش کرده است.

در این پایگاه داده که MangoDB نام داشت، بیش از 800 میلیون آدرس ایمیل و اطلاعات شخصی قابل شناسایی افراد وجود دارد که به راحتی توسط اینترنت برای همه قابل دستیابی است. وی با بررسی این پایگاه داده متوجه شد که اطلاعات آن شامل چهار مجموعه مجزا و تعداد زیادی رکورد است. بزرگترین قسمت آن “mailEmailDatabase” نام دارد که سه پوشه زیر داخل آن قرار داشتند:

• Emailrecords  با بیش از 790 میلیون رکورد
• emailWithPhone با  بیش از 4 میلیون رکورد
•  businessLeads با بیش از 6 میلیون رکورد

در بین این اطلاعات؛ پوشه Emailrecords حاوی نام و نام‌خانوادگی، تاریخ تولد، ایمیل، شماره تلفن، کد پستی، آدرس، جنسیت و آدرس IP هر ایمیل است.

این متخصص امنیت، برای بررسی این که آیا این اطلاعات افشا شده قدیمی هستند یا خیر آنها را مورد بررسی قرار داد. وی با انتخاب تصادفی برخی از ایمیل‌ها از پایگاه داده فوق آنها را در در سایت‌ معتبر HaveIBeenPwned بررسی کرد. سایت HaveIBeenPwned را یکی دیگر از متخصصان حوزه امنیت اطلاعات به نام تروی هانت راه‌اندازی کرده و در آن آدرس‌های ایمیل کشف شده پس از افشای بزرگ اطلاعات را قرار داده است تا همه بتوانند بررسی کنند که آیا ایمیل آنها هم لو رفته است یا خیر.

نتایج بدست آمده ازاین بررسی نشان داد که ایمیل‌های موجود در پایگاه داده MangoDB در اطلاعات فاش شده قبلی وجود نداشتند و مجموعه‌ای کاملا جدید و منحصربه فرد از افشای اطلاعات به حساب می‌آیند.

اگرچه تمام این رکوردهای موجود در پایگاه داده مذکور شامل اطلاعات درست و دقیق نیستند ولی به هر حال تعداد زیادی از آنها حاوی اطلاعات صحیح و شخصی کاربران هستند.

این اطلاعات متعلق به کیست؟

اطلاعات موجود در پایگاه داده MangoBD حاکی از آن بود که این اطلاعات احتمالا متعلق به یکی از شرکت‌هایی است که در حوزه مدیریت اسپم یا تایید اعتبار ایمیل فعالیت می‌کنند. بررسی جزئیات بیشتر این پایگاه داده نشان داد که اطلاعات افشا شده متعلق به شرکتی به نام Verification.io است. شرکت Verification.io به سازمان‌ها و شرکت‌های بزرگ خدمات تایید اعتبار ایمیل ارائه میداد. به نظر می‌رسد زمانی که ایمیلی برای تایید ارسال می‌شد به صورت یک متن ساده در سیستم ذخیره می‌شد.

نحوه تایید اعتبار Verifications.io

پس از انجام تحقیقات فراوان در مورد شرکت Verifications.io و مقایسه اطلاعات موجود در پایگاه داده نتایج زیر در مورد روش تایید اعتبار این سایت بدست آمد:

1 ابتدا یک سازمان یا شخص فهرستی از آدرس‌های ایمیل که قرار است اعتبار آنها بررسی شود را آپلود می‌کند.

2.شرکت با در اختیار داشتن مجموعه‌ای از سرورهای ایمیل و حساب‌های ایمیل داخلی کار اعتبارسنجی آدرس‌های ایمیل را انجام می‌دهد.

3 این کار با ارسال واقعی یک ایمیل به هر آدرس انجام می‌شود اگر ایمیل برگشت داده نشود، تایید اعتبار خواهد شد.

4 اگر ایمیلی برگشت داده شود در لیست ایمیل‌های برگشتی قرار می‌گیرد تا بعدا تایید اعتبار شود.

علاوه بر این افشای اطلاعات؛ احتمالا هکرهای زیادی نیز از نقطه ضعف شرکت مزبور استفاده کردند و از این طریق توانستند ده‌ها هزار آدرس ایمیل را اعتبارسنجی کنند و از این طریق حملات فیشینگ را برای ایمیل‌های معتبر اجرا کرده یا عملیات هک هدفمندتری را انجام دهند.

بسته شدن سایت Verifications.io

پس از این که این متخصص امنیت با ایمیلی موضوع افشای پایگاه داده را به این شرکت اعلام کردند، این شرکت با ارسال ایمیلی ضمن تشکر از وی و اعلام این که این پایگاه داده شامل اطلاعات عمومی بوده و نه اطلاعات مشتریان، پایگاه داده مذکور را بست و سایت شرکت را در حالت آفلاین قرار دادند.

علیرغم این که شرکت Verifications.io اعلام کرده اطلاعات منتشر شده عمومی بودند؛ ولی برخی از پروفایل‌های ایمیل این پایگاه‌داده، حاوی جزئیات شخصی کاربر کاربران یا اطلاعات دسترسی به سرور FTP برای آپلود/دانلود لیست‌های ایمیل است. از دسترس خارج شدن سایت هم گواه بر این است که این اطلاعات واقعا “عمومی” نبودند.

متاسفانه، همیشه در سازمان های بزرگ، ضروریات اولیه نادیده گرفته می شود، سازمان ها به خصوص در موقعیت اقتصادی دشوار کنونی، به یک راهکار برنامه ریزی شده و واضح برای امنیت پایگاه داده خود نیاز دارند.