E-mailverificatiedienst Verifications.io. lekt 808 miljoen records

Een e-mailverificatiedienst voor marketingbedrijven heeft via een onbeveiligde MongoDB-database 808 miljoen records met privédata gelekt. Hieronder bevonden zich 763 miljoen unieke e-mailadressen. Beveiligingsonderzoeker Bob Diachenko heeft dit via zijn blog bekendgemaakt.

MongoDB is een opensource NoSQL-database. Het gebeurt regelmatig dat onderzoekers onbeveiligde MongoDB-databases aantreffen met gevoelige gegevens. Op 25 februari ontdekte de onderzoeker de 150 gigabyte grote database. Behalve e-mailadressen betrof het namen, IP-adressen en geboortedata.

Verifications.io.

Uit nader onderzoek bleek dat de database van een e-mailverificatiedienst was: Verifications.io. Marketingbedrijven gebruiken dit soort diensten. Ze leveren een lijst e-mailadressen aan om te laten valideren. De verificatiedienst stuurt daarop een bericht naar de mailadressen die op de aangeleverde lijst staan. Wanneer de e-mail aankomt, wordt geconcludeerd dat het mailadres geldig is. Als deze teruggezonden wordt, dan wordt het betreffende e-mailadres op een bouncelijst vermeld.

Bruteforce-aanvallen

Behalve marketingbedrijven maken ook cybercriminelen er gebruik van. Voorafgaand aan het uitvoeren van bruteforce-aanvallen, kunnen zij via deze diensten gemakkelijk achterhalen welke e-mailaccounts nog bestaan. Verifications.io heeft na de waarschuwing van Diachenko zowel de database als zijn eigen website offline gehaald.

 

Aanmelden voor onze nieuwsbrief