Enviado por fredyavila2 el Vie, 08/03/2019 - 08:28
Base de datos

Para acceder a esta enorme base de datos, todo lo que necesitabas era una conexión a Internet. Las violaciones de datos se han vuelto tan comunes, que ahora la tendencia es pasar por alto las noticias de otra exposición pública de información de identificación personal (PII) y registros de clientes. Sin embargo, incluso en un mundo así, a veces, un caso que supera a muchos otros aún interesa al dominio público, como el descubrimiento de una base de datos que ha sido descrita como "quizás la base de datos de correo electrónico más grande y completa que he reportado" según palabras del Investigador que descubrió la brecha.

Según Bob Diachenko, junto con el investigador de seguridad Vinny Troia, la instancia MongoDB de 150 GB en cuestión contenía cuatro colecciones de datos separadas. En total, Diachenko y Troia encontraron 808,539,939 registros, la colección más grande de los cuales se llamó "MailEmailDatabase", separada en tres secciones como se muestra a continuación:

Emailrecords (798,171,891 registros)
emailWithPhone (4,150,600 registros)
BusinessLeads (6,217,358 registros)

La información ofrecida en la base de datos fue "más detallada que solo la dirección de correo electrónico", dicen los investigadores, contiene información relacionada con códigos postales, números de teléfono, direcciones físicas, géneros, direcciones IP de usuarios y fechas de nacimiento, todo disponible a cualquier persona con conexión a internet.

Después de hacer una referencia cruzada a la base de datos con registros obtenidos de la base de datos HaveIBeenPwned de Troy Hunt, una colección de fugas y exposiciones conocidas que los visitantes pueden usar para averiguar si han estado involucrados en una violación de datos, Diachenko pudo verificar que La base de datos no era solo un volcado de datos a granel de información robada.

"Aunque no todos los registros contenían la información detallada del perfil del propietario del correo electrónico, una gran cantidad de registros eran muy detallados", agregó el investigador. La instancia de MongoDB proporcionó algunas pistas sobre a quién pueden pertenecer los datos, es decir, una empresa llamada "Verifications.io".

Actualmente, el sitio web de la compañía no está disponible, pero las páginas almacenadas en caché muestran que Verifications.io se describe a sí mismo como una empresa de marketing por correo electrónico con una especialización particular para evitar las trampas de spam.

Uno de los servicios que ofrece la empresa se llama "Validación de correo electrónico empresarial", que permite a los clientes cargar listas de correo electrónico con fines de marketing y verificación. Simplemente se envía un correo electrónico a alguien como una prueba que valida el correo electrónico, pero si rebota, el mensaje se agrega a una lista para realizar pruebas más tarde.

Sin embargo, estos mensajes parecen haberse almacenado en texto sin formato y sin ningún tipo de cifrado de protección una vez cargados en el servicio. Si bien una lista de direcciones de correo electrónico y algunos PII no parecen ser un gran problema, Diachenko estableció un posible vector de ataque en el que los grupos de amenazas encontrarían tal base de datos un hallazgo inestimable.

Si un pirata informático elaborara una lista de empresas que deseaban comprometer y también obtuviera una lista de credenciales potencialmente utilizables, en lugar de ataques de fuerza bruta cada una, todas sus direcciones de correo electrónico podrían cargarse a un servicio como Verifications.io. Al hacerlo, el actor de amenazas puede ahorrar tiempo y reducir la posibilidad de estar expuesto, mientras que, al mismo tiempo, el servicio valida su caché de correo electrónico para encontrar los verdaderos objetivos que vale la pena perseguir, así como también probar la PII que podría usarse. En robo de identidad o ataques de ingeniería social.

Los investigadores informaron de sus hallazgos a Verifications.io, que retiró su sitio web como respuesta. La base de datos también fue retirada el mismo día.

"En la respuesta, identificaron que lo que había descubierto eran datos públicos y no datos de clientes, ¿por qué cerrar la base de datos y desconectar el sitio si realmente era público?", Señaló Diachenko. "Además de los perfiles de correo electrónico, esta base de datos también tenía detalles de acceso y una lista de usuarios (130 registros), con nombres y credenciales para acceder al servidor FTP para cargar / descargar listas de correo electrónico (alojadas en la misma IP con MongoDB). Solo podemos especular que esto no fue destinado a ser datos públicos ".

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila

Comentarios