Il modo delle violazioni alla sicurezza degli internauti potrebbe aver registrato un nuovo, poco invidiabile, record (anche se il primato rimane ad altri) rappresentato dalla scoperta di un serie di ben quattro archivi di dati non protetti, con informazioni altamente sensibili.
Il primo archivio è stato individuato dal ricercatore di sicurezza Bob Diachenko che, dopo alcune sue esplorazioni nel web, ha reperito il database di tipo MongoDB “mainEmailDatabase” che raggruppava, in 808.539.939 record, 150 GB di informazioni come il nome, la data di nascita, l’indirizzo, il codice di avviamento postale, il numero di telefono, il genere, etc.
Da un rapido confronto con il servizio HaveIBeenPwned (al quale rivolgersi per controllare se coinvolti in questa falla della sfera privata), realizzato dal cacciatore di violazioni Troy Hunt, è emerso che, per due terzi, si trattava di dati già noti, provenienti da data breach conosciuti mentre, per un terzo, i dati emersi erano “unici“.
In seguito, l’analisi sullo stesso server condotta dalla security house DynaRisk ha trovato altri 3 database MongoDB che, sempre in chiaro, stoccavano altri dati, per un totale finale di 196 GB suddivisi in oltre 2 miliardi di record. Condotte delle accurate indagini investigative, si è risaliti alla società proprietaria del database, la Verifications.io, un’azienda di marketing situata in Estonia, a Tallin, che si occupava di verificare professionalmente (per conto di clienti) che le email destinate alle campagne di spam fossero ancora valide, ed attive.
L’azienda, opportunamente avvertita, ha messo online i propri database, precisando che, in ogni caso, non v’è pericolo per le persone, stante che erano stati assemblati con informazioni pubbliche, e non con i dati dei clienti (quindi, niente numeri di carte di credito, o cartelle sanitarie), anche se è del tutto evidente la leggerezza che ha portato a non aggiornare i database MongoDB che, usciti nel 2014, prima della versione 2.6.0, erano settati di default per essere accessibili in Rete.