Más de 808 millones de registros, la mayoría correos electrónicos, han sido filtrados de acuerdo a los hallazgos de investigadores de seguridad. Esta enorme colección de direcciones de email y otros datos, que se dejaron en Internet sin protección alguna, resultaron ser de acceso público para cualquier persona.
Recientemente, Bob Diachenko, ha revelado que encontró un servidor MongoDB no protegido y que al parecer pertenecía a la empresa de validación de correo electrónico empresarial Verifications.io. La compañía tuvo que eliminar la base de datos, incluyendo direcciones de correo electrónico filtradas, poco después de que Diachenko alertara sobre el fallo de seguridad.
No pasaron muchas horas para que la empresa de ciberseguridad DynaRisk elevara la cantidad de esos registros expuestos, pues su investigación habría encontrado cuatro bases de datos abiertas, y no sólo una como lo había explicado Diachenko.
Y es que, según la publicación del portal de noticias de ESET, la colección pesaba 196 Gigabytes (Gb), en lugar de 150 Gb, y aparentemente comprendía alrededor de dos mil 70 millones de registros.
Se ha informado que los registros incluían una mezcla heterogénea de datos, principalmente 768 millones de direcciones de correo electrónico filtradas y, en muchos casos, las direcciones de esos emails se juntaron con los nombres de sus propietarios.
Además, se habrían filtrado sus cuentas de redes sociales, números de teléfono, fechas de nacimiento, códigos postales, así como información de calificación crediticia, montos de hipotecas, tasas de interés y otros datos de interés privado. “También se expusieron nombres, ingresos y otros datos específicos de negocios para varias compañías”.
Filtración de MongoDB
A pesar de la gravedad de esta exposición de datos, se ha dicho que las contraseñas, los números de la seguridad social y los detalles de las tarjetas de crédito no se incluyeron en la instancia no segura de MongoDB.
Lo que sí afirmó Diachenko es que había comprobado una muestra del conjunto de datos en el sitio web Have I Been Pwned (HIBP) de Troy Hunt y que descubrió que los registros no son simplemente una agregación de datos de fugas y violaciones anteriores, a diferencia de la ampliamente conocida Colección # 1.
“En cualquier caso, tales cantidades de datos son útiles no sólo para campañas de marketing, sino también para todo tipo de estafadores, que podrían aprovechar dicha información para campañas de ingeniería social”, tal como se ha publicado.
Cualquier persona que crea que sus credenciales han sido filtradas en esta oportunidad puede ir y comprobarlo, ahora que los datos expuestos por Verifications.io se agregaron a la base de datos de Hunt. Hay que destacar que más de un tercio de las direcciones de correo electrónico filtradas son nuevas en la base de datos.
Hallazgos de Bob Diachenko
Bob Diachenko descubrió la referida instancia de MongoDB del tamaño de 150 GB, no protegida por contraseña, el 25 de febrero de 2019. Para él, tal vez es la base de datos de correo electrónico más grande y completa que ha reportado.
Una vez que verificó la situación se sorprendió de la gran cantidad de correos electrónicos accesibles públicamente para cualquier persona con conexión a Internet. Y es que, como se ha dicho, algunos de los datos eran mucho más detallados que sólo la dirección de correo electrónico e incluían información de identificación personal (PII).
Esta base de datos, de acuerdo a su publicación, contenía cuatro colecciones de datos separadas y combinadas (808.539.939 registros), lo que para él ha resultado asombroso.
“La mayor parte de ella se llamaba ‘mailEmailDatabase’ y dentro contenía tres carpetas: archivos de correo electrónico (798.171.891 registros), emailWithPhone (4.150.600 registros) y BusinessLeads (6.217.358 registros)”.
El investigador verificó una selección aleatoria de registros con la base de datos Have I Been Pwned de Troy Hunt, como parte de su proceso de comprobación. Fue así como los resultados le llevaron a concluir que esto no es sólo otra recopilación de fuentes filtradas previamente, sino un conjunto de datos completamente único.
“Aunque no todos los registros contenían la información detallada del perfil del propietario del correo electrónico, una gran cantidad de registros era muy detallado. Todavía estamos hablando de millones de discos”.
El siguiente paso fue comenzar a analizar el contenido, en un intento por identificar al propietario y divulgarlo de manera responsable, a pesar de que esto le comenzó a parecerse mucho a un conjunto de datos de una organización de spam.
Además de las bases de datos de correo electrónico, esta instancia de Mongo desprotegida también le reveló a Diachenko los detalles sobre su posible propietario, la ya mencionada empresa Verifications.io, que ofrecía los servicios de Validación de correo electrónico empresarial.
“Desafortunadamente, parece que una vez que se cargaron los correos electrónicos para verificación, también se almacenaron en texto sin formato. Una vez que informé de mi descubrimiento a Verifications.io, el sitio se desconectó y se encuentra inactivo en el momento de esta publicación”, según lo afirmado por el investigador.