Een e-mailverificatiedienst voor marketingbedrijven heeft via een onbeveiligde MongoDB-database 808 miljoen records met privédata gelekt. Hieronder bevonden zich 763 miljoen unieke e-mailadressen. Beveiligingsonderzoeker Bob Diachenko heeft dit via zijn blog bekendgemaakt.
MongoDB is een opensource NoSQL-database. Het gebeurt regelmatig dat onderzoekers onbeveiligde MongoDB-databases aantreffen met gevoelige gegevens. Op 25 februari ontdekte de onderzoeker de 150 gigabyte grote database. Behalve e-mailadressen betrof het namen, IP-adressen en geboortedata.
Verifications.io.
Uit nader onderzoek bleek dat de database van een e-mailverificatiedienst was: Verifications.io. Marketingbedrijven gebruiken dit soort diensten. Ze leveren een lijst e-mailadressen aan om te laten valideren. De verificatiedienst stuurt daarop een bericht naar de mailadressen die op de aangeleverde lijst staan. Wanneer de e-mail aankomt, wordt geconcludeerd dat het mailadres geldig is. Als deze teruggezonden wordt, dan wordt het betreffende e-mailadres op een bouncelijst vermeld.
Bruteforce-aanvallen
Behalve marketingbedrijven maken ook cybercriminelen er gebruik van. Voorafgaand aan het uitvoeren van bruteforce-aanvallen, kunnen zij via deze diensten gemakkelijk achterhalen welke e-mailaccounts nog bestaan. Verifications.io heeft na de waarschuwing van Diachenko zowel de database als zijn eigen website offline gehaald.