800 millones de emails filtrados por un servicio de verificación online

800 millones de emails filtrados por un servicio de verificación online

El día 25 de Febrero de 2019 Bob Diachenko descubrió una instancia de MongoDB sin contraseña, cuyo tamaño era de 150 GB. Quizá se trate de la base de datos de emails más grande jamás filtrada.

Tras verificar el hallazgo se quedó sorprendido del enorme número de emails contenidos, al libre acceso de cualquier usuario de internet. Algunos de estos datos eran bastante detallados e incluían PII (Personal Identifiable Information), información personal vaya.

Varias bases de datos filtradas con 800 millones de registros

Esta base de datos está formada por cuatro colecciones separadas de datos, que combinadas producen la friolera de 808539939 registros. La mayor parte corresponde a mailEmailDatabase y contiene en su interior 3 carpetas:

  • Emailrecords (798,171,891 registros)
  • emailWithPhone (4,150,600 registros)
  • businessLeads (6,217,358 registros)

800 millones de emails filtrados por un servicio de verificación online

La carpeta “EmailRecords” contiene en su estructura datos como: código postal, teléfono, dirección, género, email, IP…

800 millones de emails filtrados por un servicio de verificación online(2)

Como parte del proceso de verificación este experto decidió cruzar algunos de estos datos con la base de datos HaveIbeenPwned (de la que hablamos aquí) mantenida por Troy Hunt. Según los resultados se ha llegado a la conclusión de que no es otra nueva “colección” de recursos previamente filtrados, sino algo totalmente nuevo y único.

Tras comenzar a analizar los contenidos para poder llegar hasta el responsable de la base de datos todo parecía apuntar a una empresa con prácticas de spam habituales. Al final resultó ser el sitio web Verifications.io, que ofrecía servicios de ” verificación de emails corporativos”.

Parece ser que cuando el experto notificó a los responsables del servicio, rápidamente estos pusieron la web offline. Esta es la versión archivada de la misma. Actualmente continúa fuera de combate.

Verifications.io

El modelo de negocio

Bob Diachenko se puso en contacto entonces con Vinny Troiam dueño de NightLion Security y juntos estuvieron investigando el funcionamiento de esta empresa, además de notificar a los responsables del servicio. Según los contenidos de la base de datos llegaron a ciertas conclusiones sobre su uso potencial:

Imaginemos que un “delincuente” tiene una lista de 1000 empresas que quiere hackear. Tiene muchas cuentas y posibles contraseñas, pero no sabe cuales son reales. […] En lugar de hacer ataques de fuerza bruta con todas las combinaciones manda los datos a Verifications.io.

Dicho servicio separa entonces la paja del grano, cada usuario recibe su correo diciendo “hola” y ahora el atacante ya sabe qué direcciones de correo están activas en una empresa, para poder hacerles ataques de phishing o ataques de fuerza bruta más enfocados.

Estos serían los pasos:

  1. Alguien carga una lista de direcciones de email para validar.
  2. Verifications.io tiene una lista de servidores de correo internos y direcciones que emplea para validar una dirección de correo externa.
  3. Validan entonces enviando correos a las direcciones suministradas. Si el correo no “rebota” (es rechazado) entonces se da por válida la dirección.
  4. Si es devuelto, entonces el correo se mueve a otra lista para validarlo en el futuro.

Estas conclusiones se extraen dado que entre las cuentas encontradas en la empresa Verifications.io se hallaron miles de servidores de email, trampas de spam, keywords a evitar, listas negras de bloqueo IP, etc.

Cuando se contactó con ellos (a pesar de afirmar que la base de datos era pública) decidieron tumbar el servidor rápidamente y cerrar la base de datos (un poco raro sí que es!). Además, entre lo encontado había también 130 credenciales de acceso por FTP para cargar/descargar listas de emails (alojadas en la misma BBDD MongoDB).

Más detalles en Wired

Anuncios

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.