2019/03/10
800 milhões de endereços de email revelados por empresa de validação de emails
Se estavam a estranhar que quase se iria passar uma semana sem surgir um novo mega-leak de dados, cá está ele. Um investigador descobriu uma base de dados, acessível publicamente, contendo mais de 800 milhões de endereços de email e também informação adicional como nomes, números de telefone, e até endereços IP dos visados.
Contrariamente a outros mega-leaks com milhões de registos que não passam da compilação de dados já revelados por leaks menores, este destaca-se por ser um leak inteiramente novo contendo mais de 800 milhões de registos, que terão tido origem no serviço Verifications.io - um serviço de validação de endereços de email que facilita a vida a spammers e hackers, ao garantir que os emails que querem utilizar são realmente válidos.
Este serviço permite que os clientes enviem listas de endereços de email, para os quais é enviado um email simples (basicamente a dizer apenas "olá") como forma de verificar se o mesmo é entregue ou se resulta num erro a dizer que não existe; desta forma permitindo verificar que emails são válidos e quais se podem limpar da lista. Infelizmente, o serviço ia também acumulando-os numa base de dados não protegida, que estava exposta a qualquer pessoa que perdesse um pouco de tempo a procurá-la.
Segundo o "Have I Been pwned", também vários dos meus emails por lá andavam... e é bem provável que o mesmo aconteça para a maioria das pessoas que estiverem a ler isto.
Subscrever:
Enviar feedback (Atom)
Olá Carlos,
ResponderEliminartendo em conta o teu artigo o que aconselhas a fazer!? será necessário trocar passwords? Eu já tenho 2 passos de verificação.
obrigado,
Aqui nem há muito (nada) a fazer. É informação que já anda a circular. Utilizar passwords únicas por serviço e com 2-step onde possível, é a única coisa que se pode fazer (e no caso de algum leak de algum serviço específico, trocar essa password obviamente).
EliminarParece-me que aqui não haverá questão com palavras-passe.
ResponderEliminarParece que neste caso em particular, o problema é a dose de dados pessoais verdadeiros, verificáveis e preciosos para tantos "engenheiros sociais" que estavam disponíveis de forma pública.
E sim, também apareceu pelo menos um dos meus endereços por ali... :(
Como é possível?!
ResponderEliminar"the breach was due to the data being stored in a MongoDB instance left publicly facing without a password"
Ah e tal vou guardar o meu dinheiro num cofre sem fechadura e deixar o cofre na rua...
Li o habitual - 800 milhões de contas, i. é, e-mail e password.
ResponderEliminarAfinal são "apenas" os endereços de e-mail.
Mais uma carrada de spam (e outros mails bem piores).
P.S. Escrevi bem - e-mail (ou email) é o endereço de correio electrónico, mail é o tipo de comunicação