Une entreprise de marketing par courriel a laissé 809 millions de disques exposés en ligne

À ce stade, vous avez espéré que vous aurez compris que vos données personnelles peuvent être exposées à toutes sortes de backwaters Internet inattendus. Mais la sensibilisation accrue n'a pas ralenti le problème. En fait, il est seulement devenu plus grand et plus confus.

La semaine dernière, les chercheurs en sécurité Bob Diachenko et Vinny Troia ont découvert une base de données MongoDB non protégée et accessible au public, contenant 150 gigaoctets de données marketing détaillées en texte en clair, y compris 763 millions d'adresses e-mail uniques. Les deux hommes ont rendu leurs conclusions publiques cette semaine. Le trésor n'est pas seulement massif mais aussi inhabituel; il contient des données sur les consommateurs individuels ainsi que des "données d'intelligence économique", telles que les données sur les employés et les revenus de différentes entreprises. Cette diversité peut provenir de la source de l'information. La base de données, appartenant à la firme de "validation de courrier électronique" Verifications.io, a été mise hors ligne le jour même où Diachenko l'a signalée à la société.

Bien que vous n'en ayez probablement jamais entendu parler, les validateurs jouent un rôle crucial dans l'industrie du marketing par courrier électronique. Ils n'envoient pas d'e-mails marketing pour leur propre compte et ne facilitent pas les campagnes automatisées par e-mail en masse. Au lieu de cela, ils vérifient la liste de diffusion d'un client pour s'assurer que ses adresses électroniques sont valides et ne seront pas renvoyées. Certaines entreprises de marketing par courrier électronique proposent ce mécanisme en interne. Cependant, pour vérifier le bon fonctionnement d'une adresse électronique, il faut envoyer un message à cette adresse et confirmer sa livraison, essentiellement du spam. Cela signifie échapper aux protections des fournisseurs de services Internet et des plates-formes telles que Gmail. (Il existe des moyens moins invasifs de valider les adresses électroniques, mais ils ont un compromis entre faux positifs.) Les entreprises de marketing par courrier électronique externalisent souvent ce travail au lieu de prendre le risque de voir leur infrastructure mise à l'index par des filtres anti-spam ou par une baisse de leur réputation en ligne.

"Les entreprises ont des listes de courrier électronique et veulent commencer à les envoyer par courrier électronique, mais elles ne sont pas sûres de leur validité", a déclaré Troia, fondateur du cabinet Night Lion Security. "Ils vont donc dans une entreprise qui enverra essentiellement du spam." Troia spécule, mais n'a pas confirmé, que la base de données pourrait être si grande et variée, car elle comprend toutes les données des clients de Verification.io. Pendant plusieurs jours, WIRED n’a pas été en mesure de contacter l’entreprise ou le directeur général, Vlad Strelkov. Lundi, l'intégralité du site Web Verifications.io a été mis hors ligne et n'a pas été restauré depuis.

Poseur de disques

En règle générale, le trésor de Verifications.io contient un total de 809 millions d’enregistrements contenant des informations standard telles que des noms, adresses électroniques, numéros de téléphone et adresses physiques. Mais beaucoup incluent également des éléments tels que le sexe, la date de naissance, le montant de l'hypothèque personnelle, le taux d'intérêt, les comptes Facebook, LinkedIn et Instagram associés aux adresses e-mail et la caractérisation des cotes de crédit des personnes (moyenne, supérieure à la moyenne, etc.). Dans le même temps, d’autres documents de la collection semblent liés à la création de ventes aux entreprises, notamment les noms des sociétés, les chiffres de chiffre d’affaires annuels, les numéros de fax, les sites Web des sociétés et les identifiants de secteur permettant de classer les sociétés par catégories appelées codes "SIC" et "NAIC".

Les données ne contiennent pas de numéros de sécurité sociale ni de numéros de cartes de crédit et les seuls mots de passe de la base de données sont ceux de la propre infrastructure de Verifications.io. Dans l’ensemble, la plupart des données sont accessibles au public à partir de diverses sources, mais lorsque les criminels peuvent mettre la main sur de véritables données agrégées, il leur est beaucoup plus facile de gérer de nouvelles escroqueries d’ingénierie sociale ou d’accroître leur pool cible.

Dans la base de données exposée, les chercheurs ont également découvert certains des outils internes de Verifications.io, tels que des comptes de messagerie de test, des centaines de serveurs SMTP (envoi d’e-mails), le texte des e-mails, une infrastructure d’évasion anti-spam, des mots-clés à éviter, et adresses IP à la liste noire. Diachenko suggère que, dans le flux de travail de Verifications.io, les clients téléchargent une feuille de calcul Excel répertoriant les adresses e-mail à valider, puis Verifications.io exécute ses tests et renvoie des listes d’adresses non définies et de listes renvoyées. Il est possible, compte tenu de la nature fragmentaire des données et de la preuve qu’elles ont été importées à partir de nombreux fichiers Excel différents, que Verifications.io ait également conservé une partie ou la totalité des données qu’il a reçues de clients après la vérification de ses adresses électroniques.

Les chercheurs ont validé des échantillons de données avec des entreprises répertoriées comme clients de Verifications.io. Troia dit que ses propres informations apparaissent dans la base de données. WIRED s’est entretenu avec le propriétaire d’une entreprise de marketing par courriel qui a confirmé la validité d’un segment des données. WIRED a également vérifié quatre personnes, mais ne les a pas répertoriées. Diachenko et Troia ont également indiqué qu'ils n'avaient aucun moyen de savoir si quelqu'un avait découvert et téléchargé les données de Verifications.io alors qu'elles étaient accessibles au public et entièrement exposées.

"Je ne sais pas si quelqu'un d'autre a eu accès à cela en plus de nous", a déclaré Troia. "Mais c'était définitivement à la portée de tous."

"Vous ne pouvez pas baisser votre garde"

La base de données et Verifications.io sont encore méconnues, car la société est difficile à suivre. Lorsque les chercheurs ont initialement contacté la société par le biais d'un portail de messagerie sur son site pour divulguer l'exposition de la base de données, quelqu'un a répondu par une note non signée. "Merci d'avoir signalé le problème. Nous vous sommes reconnaissants de nous avoir contactés et de nous avoir informés", a indiqué la réponse. "Il s'agit de la base de données de notre société construite avec des informations publiques, et non des données client. Nous avons pu sécuriser rapidement la base de données. Il est évident que, même avec 12 ans d'expérience, vous ne pouvez pas baisser la garde."

Une grande partie des données de la base de données est accessible au public, bien que ce ne soit pas clair. Lorsque les chercheurs ont demandé sur le portail le nom du propriétaire de l'entreprise et le nom légal de l'entreprise, une personne a répondu en refusant de répondre.

Il est également difficile de savoir où se trouve Verifications.io. La plupart de ses matériaux sont répertoriés dans Boca Raton, en Floride, mais certains de ses actifs Web sont enregistrés en Californie et dans le Delaware. Le site Web Verifications.io répertorie des adresses en Estonie, mais certaines d’entre elles correspondent à ce qui semble être un musée et un bâtiment gouvernemental.

Le chercheur en sécurité Troy Hunt ajoute les données Verifications.io à son service HaveIBeenPwned, qui aide les utilisateurs à vérifier si leurs données ont été compromises lors de l’exposition et de la violation de données. Il dit que 35% des 763 millions d'adresses e-mail du trésor sont nouvelles pour la base de données HaveIBeenPwned. Le dump de données Verifications.io est également le deuxième plus important jamais ajouté à HaveIBeenPwned en termes de nombre d'adresses e-mail, après les 773 millions d'euros stockés dans le référentiel connu sous le nom de Collection 1, ajouté plus tôt cette année. Hunt dit que certaines de ses propres informations sont incluses dans l'exposition Verifications.io.

“Une autre journée sur Internet”

"La principale chose à retenir pour moi est qu'il s'agit simplement d'un autre cas dans lequel quelqu'un dispose de mes données et de centaines de millions d'autres données, et je ne sais absolument pas comment ils les ont obtenues", déclare Hunt. "Je n'avais jamais entendu parler de la société jusqu'à maintenant et je ne me souviens certainement pas avoir consenti à l'utilisation de mes données. Bien sûr, il est tout à fait possible que, enfoui dans les conditions générales d'un autre service, autorisé à transmettre mes données de cette manière, mais cela ne correspond pas vraiment à mes attentes quant à la manière dont mes données devraient être utilisées. "

Comme pour les expositions récentes de données provenant de l'agrégateur de données d'entreprise Apollo et de la société de marketing Exactis, vous ne pouvez pas faire grand chose pour vous protéger individuellement en cas de fuite de vastes référentiels de données compilées à partir de sources publiques et privées. Consultez HaveIBeenPwned pour voir si vos données étaient dans l'exposition Verifications.io et poursuivez votre vigilance générale quant à l'utilisation de mots de passe forts et uniques, au contrôle de vos états financiers et à la communication de votre numéro de sécurité sociale le moins souvent possible. Mais sachez également qu'aucune de ces mesures n'apporte de solution complète à ce problème à l'échelle de la société.

La nature disjointe des données exposées de Verifications.io témoigne de l'état chaotique de l'industrie des données dans son ensemble. Les informations personnelles des personnes sont partagées par d’énormes entreprises telles que Facebook, achetées et vendues par des spécialistes du marketing douteux, ou volées à des géants de l’information et condamnées à circuler sans fin au purgatoire des forums criminels. En raison du désabonnement, il est difficile pour les consommateurs de contrôler qui a leurs données et où elles aboutissent. Comme le dit si bien Hunt: "Malheureusement, ce n'est qu'un autre jour sur Internet."

Cette histoire a paru à l'origine sur wired.com.

Written by yikyak