Iscriviti

Scoperti 4 database online, relativi a progetti di email marketing, con 196 GB di dati personali esposti

Nonostante sempre più spesso vengano segnalate delle violazioni della privacy, la sicurezza nel mondo del web non sembra migliorare, come confermato dall'ennesimo data breach destato dalla presenza, in Rete, di 196 GB di dati sensibili in chiaro.

Internet e Social
Pubblicato il 11 marzo 2019, alle ore 18:07

Mi piace
8
0
Scoperti 4 database online, relativi a progetti di email marketing, con 196 GB di dati personali esposti

Il modo delle violazioni alla sicurezza degli internauti potrebbe aver registrato un nuovo, poco invidiabile, record (anche se il primato rimane ad altri) rappresentato dalla scoperta di un serie di ben quattro archivi di dati non protetti, con informazioni altamente sensibili. 

Il primo archivio è stato individuato dal ricercatore di sicurezza Bob Diachenko che, dopo alcune sue esplorazioni nel web, ha reperito il database di tipo MongoDB “mainEmailDatabase” che raggruppava, in 808.539.939 record, 150 GB di informazioni come il nome, la data di nascita, l’indirizzo, il codice di avviamento postale, il numero di telefono, il genere, etc.

Da un rapido confronto con il servizio HaveIBeenPwned (al quale rivolgersi per controllare se coinvolti in questa falla della sfera privata), realizzato dal cacciatore di violazioni Troy Hunt, è emerso che, per due terzi, si trattava di dati già noti, provenienti da data breach conosciuti mentre, per un terzo, i dati emersi erano “unici

In seguito, l’analisi sullo stesso server condotta dalla security house DynaRisk ha trovato altri 3 database MongoDB che, sempre in chiaro, stoccavano altri dati, per un totale finale di 196 GB suddivisi in oltre 2 miliardi di record. Condotte delle accurate indagini investigative, si è risaliti alla società proprietaria del database, la Verifications.io, un’azienda di marketing situata in Estonia, a Tallin, che si occupava di verificare professionalmente (per conto di clienti) che le email destinate alle campagne di spam fossero ancora valide, ed attive. 

L’azienda, opportunamente avvertita, ha messo online i propri database, precisando che, in ogni caso, non v’è pericolo per le persone, stante che erano stati assemblati con informazioni pubbliche, e non con i dati dei clienti (quindi, niente numeri di carte di credito, o cartelle sanitarie), anche se è del tutto evidente la leggerezza che ha portato a non aggiornare i database MongoDB che, usciti nel 2014, prima della versione 2.6.0, erano settati di default per essere accessibili in Rete. 

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - Trovo davvero incredibile che i responsabili della sicurezza dell'azienda menzionata, e chi in essa ha progettato gli archivi, si siano dimenticati di settare sul privato un tale ammasso di informazioni prima di stoccarlo in Rete: da brividi. Venuti a conoscenza della cosa, quelli di Verifcations.io hanno semplicemente messo off-line il tutto, dicendo che tanto si trattava di informazioni di pubblico dominio...

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!