2019/03/10

800 milhões de endereços de email revelados por empresa de validação de emails


Se estavam a estranhar que quase se iria passar uma semana sem surgir um novo mega-leak de dados, cá está ele. Um investigador descobriu uma base de dados, acessível publicamente, contendo mais de 800 milhões de endereços de email e também informação adicional como nomes, números de telefone, e até endereços IP dos visados.

Contrariamente a outros mega-leaks com milhões de registos que não passam da compilação de dados já revelados por leaks menores, este destaca-se por ser um leak inteiramente novo contendo mais de 800 milhões de registos, que terão tido origem no serviço Verifications.io - um serviço de validação de endereços de email que facilita a vida a spammers e hackers, ao garantir que os emails que querem utilizar são realmente válidos.

Este serviço permite que os clientes enviem listas de endereços de email, para os quais é enviado um email simples (basicamente a dizer apenas "olá") como forma de verificar se o mesmo é entregue ou se resulta num erro a dizer que não existe; desta forma permitindo verificar que emails são válidos e quais se podem limpar da lista. Infelizmente, o serviço ia também acumulando-os numa base de dados não protegida, que estava exposta a qualquer pessoa que perdesse um pouco de tempo a procurá-la.

Segundo o "Have I Been pwned", também vários dos meus emails por lá andavam... e é bem provável que o mesmo aconteça para a maioria das pessoas que estiverem a ler isto.

5 comentários:

  1. Olá Carlos,
    tendo em conta o teu artigo o que aconselhas a fazer!? será necessário trocar passwords? Eu já tenho 2 passos de verificação.

    obrigado,

    ResponderEliminar
    Respostas
    1. Aqui nem há muito (nada) a fazer. É informação que já anda a circular. Utilizar passwords únicas por serviço e com 2-step onde possível, é a única coisa que se pode fazer (e no caso de algum leak de algum serviço específico, trocar essa password obviamente).

      Eliminar
  2. Parece-me que aqui não haverá questão com palavras-passe.

    Parece que neste caso em particular, o problema é a dose de dados pessoais verdadeiros, verificáveis e preciosos para tantos "engenheiros sociais" que estavam disponíveis de forma pública.

    E sim, também apareceu pelo menos um dos meus endereços por ali... :(

    ResponderEliminar
  3. Como é possível?!
    "the breach was due to the data being stored in a MongoDB instance left publicly facing without a password"

    Ah e tal vou guardar o meu dinheiro num cofre sem fechadura e deixar o cofre na rua...

    ResponderEliminar
  4. Li o habitual - 800 milhões de contas, i. é, e-mail e password.
    Afinal são "apenas" os endereços de e-mail.
    Mais uma carrada de spam (e outros mails bem piores).

    P.S. Escrevi bem - e-mail (ou email) é o endereço de correio electrónico, mail é o tipo de comunicação

    ResponderEliminar