Một Công Ty Email Marketing Đã Bỏ Lạc 809 Triệu Hồ Sơ Trực Tuyến

Tính đến thời điểm này, bạn có hy vọng rằng thông tin cá nhân của bạn có thể xuất hiện ở những nơi trực tuyến không ngờ. Nhưng sự nhận thức tăng cao không làm giảm bớt vấn đề. Ngược lại, nó còn trở nên lớn hơn và phức tạp hơn.

Tuần trước, các nhà nghiên cứu an ninh Bob Diachenko và Vinny Troia phát hiện một cơ sở dữ liệu MongoDB không được bảo vệ, có thể truy cập công khai chứa 150 gigabyte dữ liệu tiếp thị chi tiết, không mã hóa, bao gồm 763 triệu địa chỉ email duy nhất. Cặp đôi này đang công khai thông tin của họ hôm nay. Kho dữ liệu không chỉ lớn mà còn không bình thường; nó chứa dữ liệu về người tiêu dùng cá nhân cũng như những thông tin "dữ liệu tình báo kinh doanh," như số nhân viên và doanh số doanh nghiệp từ các công ty khác nhau. Sự đa dạng này có thể phát nguồn từ nguồn thông tin. Cơ sở dữ liệu, thuộc sở hữu của công ty "xác minh email" Verifications.io, đã được tắt nguồn cùng ngày Diachenko báo cáo nó cho công ty.

Mặc dù bạn có lẽ chưa bao giờ nghe về họ, những người xác minh đóng một vai trò quan trọng trong ngành công nghiệp email marketing. Họ không gửi email tiếp thị cho riêng họ hoặc tạo điều kiện cho các chiến dịch email hàng loạt tự động. Thay vào đó, họ xác minh danh sách gửi thư của khách hàng để đảm bảo rằng các địa chỉ email trong đó là hợp lệ và sẽ không trả lại. Một số công ty tiếp thị qua email cung cấp cơ chế này trong nhà. Nhưng việc xác minh đầy đủ rằng một địa chỉ email hoạt động bao gồm việc gửi một tin nhắn đến địa chỉ và xác nhận rằng nó đã được gửi thành công—về cơ bản là gửi thư rác cho mọi người. Điều đó có nghĩa là tránh né các bảo vệ của các nhà cung cấp dịch vụ internet và các nền tảng như Gmail. (Có những cách ít xâm phạm hơn để xác minh địa chỉ email, nhưng chúng có sự đánh đổi về kết quả giả mạo.) Các công ty tiếp thị qua email phổ biến thường giao việc này cho bên ngoại thay vì đảm nhận rủi ro của việc bị đưa vào danh sách đen của bộ lọc thư rác, hoặc giảm điểm danh tiếng trực tuyến của họ.

Các công ty có danh sách email và muốn bắt đầu gửi email cho họ, nhưng họ không chắc chắn về tính hợp lệ của chúng," nói Troia, người sáng lập công ty Night Lion Security. "Vì vậy, họ đến một công ty có thể gửi thư rác." Troia suy đoán, nhưng chưa xác nhận, rằng cơ sở dữ liệu có thể lớn và đa dạng vì nó bao gồm tất cả dữ liệu của khách hàng Verification.io. MYTOUR không thể liên lạc với công ty hoặc CEO Vlad Strelkov qua nhiều ngày vào thứ Hai, toàn bộ trang web Verifications.io đã tắt và không khôi phục lại từ đó.

Người Đặt Kỷ Lục

Nói chung, trong bộ sưu tập Verifications.io có tổng cộng 809 triệu hồ sơ bao gồm thông tin tiêu chuẩn như tên, địa chỉ email, số điện thoại và địa chỉ vật lý. Nhưng nhiều hồ sơ còn bao gồm các thông tin như giới tính, ngày sinh, số tiền thế chấp cá nhân, lãi suất, tài khoản Facebook, LinkedIn và Instagram liên kết với địa chỉ email, và đặc điểm về điểm tín dụng của người (như trung bình, trên trung bình, và như vậy). Trong khi đó, các hồ sơ khác trong bộ sưu tập có vẻ liên quan đến tạo ra cơ hội kinh doanh tại các doanh nghiệp, bao gồm tên công ty, con số doanh thu hàng năm, số fax, trang web công ty và các mã xác định ngành cho việc phân loại các công ty gọi là mã "SIC" và "NAIC".

Dữ liệu không chứa số An Sinh Xã Hội hoặc số thẻ tín dụng, và mật khẩu duy nhất trong cơ sở dữ liệu là cho hạ tầng riêng của Verifications.io. Nhìn chung, hầu hết dữ liệu đều có sẵn công khai từ các nguồn khác nhau, nhưng khi tội phạm có thể nắm bắt được các bộ sưu tập dữ liệu, điều này làm cho việc chạy các chiêu trò kỹ thuật xã hội mới hoặc mở rộng phạm vi mục tiêu của họ dễ dàng hơn.

Trong cơ sở dữ liệu bị rò rỉ, các nhà nghiên cứu cũng phát hiện một số công cụ nội bộ của Verifications.io giống như các tài khoản email thử nghiệm, hàng trăm máy chủ SMTP (gửi email), nội dung email, hạ tầng né thư rác, từ khóa tránh, và địa chỉ IP để đưa vào danh sách đen. Diachenko đề xuất rằng trong quy trình làm việc của Verifications.io, khách hàng sẽ tải lên một bảng tính Excel liệt kê các địa chỉ email cần xác minh, sau đó Verifications.io sẽ chạy các bài kiểm tra của họ và trả lại danh sách các địa chỉ sạch sẽ và những địa chỉ trả lại. Có khả năng, với tính chất phân mảnh của dữ liệu và bằng chứng cho thấy nó được nhập từ nhiều tệp Excel khác nhau, Verifications.io cũng giữ lại một số hoặc toàn bộ dữ liệu mà nó nhận từ khách hàng sau khi hoàn thành các kiểm tra địa chỉ email của mình.

Các nhà nghiên cứu đã xác minh mẫu dữ liệu với các công ty được liệt kê là khách hàng của Verifications.io. Troia cho biết thông tin cá nhân của anh cũng xuất hiện trong cơ sở dữ liệu. MYTOUR đã nói chuyện với chủ của một công ty tiếp thị qua email xác nhận tính hợp lệ của một phần của dữ liệu. MYTOUR cũng kiểm tra cho bốn cá nhân, nhưng không tìm thấy họ được liệt kê. Diachenko và Troia cũng chú ý rằng họ không có cách nào để biết liệu có ai khác đã phát hiện và tải xuống dữ liệu Verifications.io khi nó còn công khai và hoàn toàn tiếp xúc.

"Tôi không biết liệu có ai khác đã truy cập nó ngoài chúng tôi," Troia nói. "Nhưng nó đã chắc chắn xuất hiện để bất kỳ ai cũng có thể nắm bắt."

'Một Ngày Khác Trên Internet'

Vẫn còn rất nhiều điều chưa biết về cơ sở dữ liệu và Verifications.io, vì công ty này khó theo dõi. Khi các nhà nghiên cứu ban đầu liên hệ với công ty thông qua một cổng thông điệp trên trang web của nó để tiết lộ sự tiếp xúc với cơ sở dữ liệu, có người đã trả lời bằng một lá thư không ký tên. "Cảm ơn bạn đã báo cáo vấn đề. Chúng tôi đánh giá bạn đã liên hệ và thông báo cho chúng tôi," câu trả lời nói. "Đây là cơ sở dữ liệu của công ty chúng tôi được xây dựng với thông tin công khai, không phải dữ liệu của khách hàng. Chúng tôi đã nhanh chóng bảo vệ cơ sở dữ liệu. Cho thấy, thậm chí với 12 năm kinh nghiệm, bạn cũng không thể lơi nhiễm."

Nhiều dữ liệu trong cơ sở dữ liệu là công khai, tuy nhiên không rõ liệu có phải tất cả đều như vậy hay không. Khi các nhà nghiên cứu hỏi trong cổng thông điệp về tên chủ sở hữu của công ty và tên pháp lý của công ty, có người trả lời từ chối trả lời.

Cũng không rõ Verifications.io đặt ở đâu. Hầu hết các tài liệu của nó đều liệt kê Boca Raton, Florida, nhưng một số tài sản web của nó được đăng ký tại California và Delaware. Trang web của Verifications.io liệt kê địa chỉ ở Estonia, nhưng một số địa chỉ đó phù hợp với những gì có vẻ là một bảo tàng và một tòa nhà chính phủ.

Nhà nghiên cứu an ninh Troy Hunt đang thêm dữ liệu từ Verifications.io vào dịch vụ HaveIBeenPwned của mình, giúp người kiểm tra xem dữ liệu của họ đã bị rò rỉ trong các sự cố và việc xâm phạm dữ liệu. Ông nói rằng 35% trong tổng số 763 triệu địa chỉ email trong kho dữ liệu này là mới trên cơ sở dữ liệu HaveIBeenPwned. Bộ dữ liệu Verifications.io cũng là bộ dữ liệu thứ hai lớn nhất từng được thêm vào HaveIBeenPwned về số lượng địa chỉ email, sau 773 triệu trong kho dữ liệu được biết đến với tên Collection 1, được thêm vào đầu năm nay. Hunt nói rằng một số thông tin cá nhân của ông cũng được tiết lộ trong sự kiện Verifications.io.

"Điều quan trọng nhất đối với tôi là đây chỉ là một trường hợp khác nơi mà ai đó có dữ liệu của tôi, và dữ liệu của hàng trăm triệu người khác, và tôi hoàn toàn không biết họ đã lấy được nó như thế nào," Hunt nói. "Tôi chưa bao giờ nghe về công ty cho đến bây giờ và tất nhiên tôi không bao giờ nhớ có đồng ý cho họ sử dụng dữ liệu của tôi. Tất nhiên, có thể hoàn toàn nằm trong điều khoản và điều kiện của một số dịch vụ khác mà nói rằng họ được phép chuyển giao dữ liệu của tôi theo cách này, nhưng điều đó không thực sự phù hợp với kỳ vọng của tôi về cách mà dữ liệu của tôi nên được sử dụng."

Như trong những vụ rò rỉ dữ liệu gần đây từ tổng hợp dữ liệu doanh nghiệp Apollo và công ty tiếp thị Exactis, có rất ít bạn có thể làm để bảo vệ bản thân khi các kho dữ liệu rộng lớn từ cả nguồn cấp dữ liệu công và tư bị rò rỉ. Kiểm tra HaveIBeenPwned để xem liệu dữ liệu của bạn có bị tiết lộ trong sự kiện Verifications.io hay không, và tiếp tục tăng cường sự cảnh báo tổng quát về việc sử dụng mật khẩu mạnh, theo dõi bảng kê tài chính của bạn, và hạn chế việc cung cấp số An Sinh Xã Hội của bạn càng ít càng tốt. Nhưng cũng biết rằng không có biện pháp nào cung cấp một giải pháp đầy đủ cho vấn đề về quy mô xã hội này.

Tính chất phân mảnh của dữ liệu Verifications.io tiết lộ sự hỗn loạn của ngành công nghiệp dữ liệu nói chung. Thông tin cá nhân của người dùng được chia sẻ bởi các công ty lớn như Facebook, được mua bán bởi những người tiếp thị không minh bạch, hoặc bị đánh cắp từ những người khổng lồ dữ liệu và bị kết án vòng vòng trong thế giới hỏa ngục của các diễn đàn tội phạm. Sự xoay vòng này làm cho người tiêu dùng khó kiểm soát ai có dữ liệu của họ và nó nằm ở đâu. Như Hunt mô tả, "Thật đáng tiếc, đó chỉ là một ngày khác trên internet."

Những Sáng Tạo Tuyệt Vời Khác Từ MYTOUR

• Bên trong "hộp đen" của một mạng neural
• Vật lý lượng tử có thể (có thể) cứu lưới điện thoại khỏi những cuộc tấn công
• Muốn có một chiếc điện thoại có thể gập? Đợi cho thủy tinh thật
• Thành phố Siberia nơi nhiệt độ cao nhất trong mùa đông là -40°F
• Amazon Alexa và sự tìm kiếm cho một câu trả lời hoàn hảo duy nhất
• 👀 Đang tìm kiếm những thiết bị công nghệ mới nhất? Kiểm tra các hướng dẫn mua sắm và các ưu đãi tốt nhất của chúng tôi suốt cả năm
• 📩 Muốn biết thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện mới và tuyệt vời nhất của chúng tôi