Hogy idén sem kerül le a napirendről az adatbiztonság témaköre, arról rögtön januárban gondoskodott az az irdatlan nagyságrendű adatbázis, amelyre egy biztonsági szakember bukkant egy felhős tárhelyszolgáltató nyilvánosan elérhető állományai között. Most egy sok szempontból hasonló sztori bukkant fel, amelyben közvetlenül érintett egy levelezőmarketingben érdekelt, rejtélyes vállalkozás is.

Minden, mi szem-szájnak és spammernek ingere

A biztonságtechnológiával foglalkozó Bob Diachenko még február 25-én botlott egy 150 gigabájtos, szabadon elérhető MongoDB instance-re. Az adatbázis vizsgálatakor döbbent rá, hogy milyen irdatlan nagyságrendű, számos kényes információt tartalmazó csomagra bukkant. A négy különálló kollekcióból álló adatbázis több mint 800 millió rekordot rejtett. Pontosabban nem rejtett, mert nem csak hogy szabadon letölthető volt, de sima szöveges formátumban sorakoztak benne a mailcímektől kezdve a lakcímeken át egészen a telefonszámokig mindenféle adatok.

A legnagyobb részt a sima elektronikus címek adták, amelyekből közel 800 milliót tartalmazott a csomag, de több milliós nagyságrendben lehetet kinyerni telefonszámokat és különböző üzleti adatokat is. A felhasználókhoz rendelt információkból bizonyos esetekben kiderült a nemük is, de volt olyan, akinél a hitelképességi mutatója is szerepelt. Az információtengerből kihalászható volt továbbá egy kövér csokornyi céges adat, honlapcímmel, faxszámokkal, állományi adatokkal, fizetési számokkal.

Diachenko a talált adatokat szúrópróbaszerűen összevetett a HaveIBeenPwned oldal adatbázisával. Ebből világossá vált, hogy nem a korábban nyilvánosságra került anyagok "újracsomagolásáról" van szó, mivel egy sor bejegyzésnél nem talált egyezést.

Rejtélyes tulajdonos

Ezt követően kezdődött az esetleg forrás felkutatása. Bár elsőre a szakember számára spamelésre szakosodott bűnözők lerakatának tűnt a csomag, a nyomok egy működő vállalkozáshoz, egy bizonyos Verifications.io-hoz vezettek. A cég professzionális címellenőrzést vállalt, ami bevett gyakorlat az emailmarketingben utazók körében. Az ilyen szolgáltatások vállalják, hogy a partner adatbázisában található címeket leellenőrzik, mielőtt azokat emailes kampányokra használnák. Ezzel nem csupán egy adattisztítást kap a megrendelő, de azt is elkerüli, hogy különböző biztonsági rendszerek feketelistázzák a saját címeit.

Diachenko a rendelkezésére álló információk alapján arra jutott, hogy amikor az ügyfelek feltöltötték a Verifications.io rendszerébe az ellenőrizni kívánt adatokat, azok plain text formátumban bekerültek ebbe a nem igazán biztonságos adatbázisba. Az ügyről természetesen azonnal értesítette is a céget, ahonnan gyorsan választ is kapott, bár annak tartalma újabb kérdőjelekkel gazdagította az amúgy sem mindennapi sztorit.

A fenti válaszból kiderül, hogy egyrészt megköszönték a jelzést, másrészt megnyugtatták a bejelentőt, hogy az adatbázis kizárólag nyilvános és semmiképpen nem ügyféltől származó adatokat tartalmazott. Ezt az álláspontot nem csak az gyengíti, hogy ténylegesen milyen hatalmas mennyiségű, sokszínű és érzékeny információról beszélünk, hanem az is, hogy a cég az adatbázis mellett még a saját oldalát is elérhetetlenné tette a levélváltás hatására.

Ezt követően sem a felfedezést tevő biztonsági szakértőnek, sem az ügyet felkaroló Wired magazinnak sem sikerült lényegi kontaktust teremteni a Verifications.io-val. A fellelhető cégadatokban több amerikai és Észtországban található cím is felbukkan, utóbbiak közül több nyilvánvalóan hamis adat, mert azokon a helyeken múzeum vagy éppen egy kormányzati épület található.

A második legnagyobb fogás

A Wired megszólaltatta a már említett HaveIBeenPwned szolgáltatást kitaláló és üzemeltető Troy Huntot is. A szakember a mostani fogás kapcsán 763 millió levélcímről beszél (valószínűleg ennyi maradt a duplikációk leszűrését követően), amelyek bő harmada még nem volt benne saját adatbázisába, amely a nyilvánosságra került incidensek során kompromittálódott személyes adatokat tartalmazza. Ezzel a február végén megtallált csomag a második legnagyobb fogásnak tekinthető a már szintén említett januári ügy után. Akkor a Collection 1-ként hívott gyűjteménynek "köszönhetően" 773 millió címmel gazdagodott az adatbázis.