בשלב זה, מקווה שהבנת את המסר הנתונים האישיים שלך פחית בסופו של דבר חשוף בכל מיני תעלומות אינטרנט בלתי צפויות. אבל הגברת המודעות לא האטה את הבעיה. למעשה, זה רק גדל - ומבלבל יותר.
בשבוע שעבר, חוקרי האבטחה בוב דיאצ'נקו וויני טרויה גילו MongoDB לא מוגן ונגיש לציבור מסד נתונים המכיל 150 גיגה-בייט של נתוני שיווק מפורטים ופשוטים - כולל 763 מיליון כתובות דוא"ל ייחודיות. הזוג הלך פומבי עם הממצאים שלהם השבוע. הטרוב הוא לא רק מסיבי אלא גם יוצא דופן; הוא מכיל נתונים על צרכנים בודדים וכן מה שנראה כ"נתוני מודיעין עסקי", כמו נתוני עובדים והכנסות מחברות שונות. גיוון זה עשוי לנבוע ממקור המידע. מסד הנתונים, בבעלות חברת "אימות הדואר האלקטרוני" Verifications.io, נלקח לא מקוון באותו יום שדיאצ'נקו דיווח על כך לחברה.
למרות שסביר להניח שמעולם לא שמעתם עליהם, מאמתים ממלאים תפקיד מכריע בתעשיית שיווק האימייל. הם לא שולחים אימיילים שיווקיים מטעם עצמם או מסייעים בקמפיינים אוטומטיים של דוא"ל המוניים. במקום זאת, הם בודקים את רשימת התפוצה של לקוח כדי להבטיח שכתובות האימייל שבה תקפות ולא יחזרו בחזרה. כמה חברות שיווק בדוא"ל מציעות מנגנון זה
בתוך הבית. אבל אימות מלא שכתובת דוא"ל עובדת כרוך בשליחת הודעה לכתובת ואישור שהיא נמסרה - בעצם העברת דואר זבל לאנשים. המשמעות היא התחמקות מהגנות של ספקי שירותי אינטרנט ופלטפורמות כמו Gmail. (ישנן דרכים פחות פולשניות לאמת כתובות דוא"ל, אבל יש להן פשרות של תוצאות שווא.) חברות שיווק בדוא"ל מיינסטרים לעתים קרובות מיקור חוץ לעבודה זו במקום לקחת את הסיכון של התשתית שלהם לרשימה השחורה על ידי מסנני דואר זבל או הורדת המוניטין המקוון שלהם ציונים.
קובע שיאים
באופן כללי, 809 מיליון הרשומות הכוללות במאגר Verifications.io כוללים מידע סטנדרטי כמו שמות, כתובות דוא"ל, מספרי טלפון וכתובות פיזיות. אבל רבים כוללים גם דברים כמו מין, תאריך לידה, סכום המשכנתא האישי, ריבית, פייסבוק, לינקדאין, ו חשבונות אינסטגרם המשויכים לכתובות אימייל, ואפיונים של ציוני האשראי של אנשים (כמו ממוצע, מעל לממוצע, וכולי). בינתיים, נראה שרשומות אחרות באוסף קשורות ליצירת לידים למכירות בבתי עסק, כולל שמות חברות, שנתי נתוני הכנסות, מספרי פקס, אתרי אינטרנט של חברות ומזהי תעשיה לסיווג חברות הנקראות "SIC" ו-"NAIC" קודים.
הנתונים אינם מכילים מספרי ביטוח לאומי או מספרי כרטיסי אשראי, והסיסמאות היחידות במסד הנתונים הן עבור התשתית של Verifications.io עצמה. בסך הכל, רוב הנתונים זמינים לציבור ממקורות שונים, אך כאשר פושעים יכולים לשים את ידם שלל נתונים מצטברים, זה מקל עליהם הרבה יותר להפעיל הונאות חדשות של הנדסה חברתית או להרחיב את היעד שלהם בריכה.
במסד הנתונים החשוף, החוקרים מצאו גם חלק ממה שנראה ככלים הפנימיים של Verifications.io עצמו כמו חשבונות דוא"ל לבדיקה, מאות שרתי SMTP (שליחת דואר אלקטרוני), טקסט של מיילים, תשתית למניעת התחמקות מספאם, מילות מפתח שיש להימנע ממנו וכתובות IP רשימה שחורה. דיאצ'נקו מציע שבזרימת העבודה Verifications.io, לקוחות יעלו גיליון אלקטרוני של Excel המפרט את האימייל כתובות לאימות ואז Verifications.io יריץ את הבדיקות שלהם ויחזיר רשימות של כתובות נקיות וכתובות שקופצו חזור. זה אפשרי - בהתחשב באופי החתיך של הנתונים והראיות שהם יובאו ממספר רב של Excel קבצים - ש-Verifications.io שמר גם חלק מהנתונים שקיבלה מלקוחות או את כולם לאחר סיום הדוא"ל שלו בדיקות כתובת.
החוקרים אימתו דוגמאות של הנתונים עם חברות הרשומות כלקוחות Verifications.io. טרויה אומר שהמידע שלו עצמו מופיע במסד הנתונים. WIRED דיבר עם הבעלים של חברת שיווק בדוא"ל שאישרה את תקפותו של חלק מהנתונים. WIRED בדק גם עבור ארבעה אנשים אך לא מצא אותם ברשימה. Diachenko וטרויה מציינים גם שאין להם דרך לדעת אם מישהו גילה והוריד את נתוני Verifications.io בזמן שהם היו זמינים לציבור וחשופים במלואם.
"אין לי מושג אם מישהו אחר ניגש לזה מלבדנו", אומר טרויה. "אבל זה בהחלט היה שם עבור כל אחד לתפוס."
"אתה לא יכול לאכזב את השמירה שלך"
הרבה לא ידוע על מסד הנתונים ועל Verifications.io, מכיוון שקשה לעקוב אחר החברה. כאשר החוקרים יצרו תחילה קשר עם החברה דרך פורטל הודעות באתר שלה כדי לחשוף את חשיפת מסד הנתונים, מישהו הגיב בהערה לא חתומה. "תודה שדיווחת על הבעיה. אנו מודים לך על פנייתך ומיידעת אותנו", נכתב בתשובה. "זהו מסד הנתונים של החברה שלנו שנבנה עם מידע ציבורי, לא נתוני לקוחות. הצלחנו לאבטח את מסד הנתונים במהירות. זה מראה שגם עם 12 שנות ניסיון, אתה לא יכול לתת את השמירה שלך".
חלק גדול מהנתונים במסד הנתונים זמינים לציבור, אם כי לא ברור שכולם כן. כשהחוקרים ביקשו בפורטל את שם הבעלים של החברה ואת השם החוקי של החברה, מישהו כתב בחזרה וסירב לענות.
לא ברור גם היכן מבוסס Verifications.io. רוב החומרים שלה רשימת בוקה רטון, פלורידה, אבל חלק מנכסי האינטרנט שלה רשומים בקליפורניה ובדלוור. האתר Verifications.io מפרט כתובות באסטוניה, אך חלק מהן התאימו למה שנראה כמוזיאון ובניין ממשלתי.
חוקר האבטחה טרוי האנט מוסיף את נתוני Verifications.io לשירות שלו HaveIBeenPwned, שעוזר לאנשים לבדוק אם הנתונים שלהם נפגעו בחשיפת נתונים והפרות. הוא אומר ש-35 אחוזים מ-763 מיליון כתובות הדוא"ל של הטרוב הינן חדשות במסד הנתונים של HaveIBeenPwned. מזפת הנתונים Verifications.io היא גם השנייה בגודלה שנוספה אי פעם ל-HaveIBeenPwned מבחינת מספר כתובות הדוא"ל, אחרי 773 מיליון במאגר הידוע בשם אוסף 1, שנוספה בתחילת השנה. האנט אומר שחלק מהמידע שלו כלול בחשיפה של Verifications.io.
"עוד יום באינטרנט"
"הדרך העיקרית עבורי היא שזה רק עוד מקרה שבו למישהו יש את הנתונים שלי ומאות מיליוני נתונים של אנשים אחרים, ואין לי מושג איך הם קיבלו אותם", אומר האנט. "מעולם לא שמעתי על החברה עד עכשיו, ואני בהחלט לא זוכר שאי פעם הסכמתי לשימוש שלהם בנתונים שלי. כמובן, זה בהחלט אפשרי, שקבור בתנאים והגבלות של שירות אחר, הוא אומר שהם רשאים להעביר את הנתונים שלי בצורה הזו, אבל זה לא ממש תואם את הציפיות שלי לגבי איך הנתונים שלי צריכים להיות בשימוש."
בדומה לחשיפות נתונים אחרונות מאגריטור הנתונים העסקיים Apollo and חברת השיווק Exactis, אין הרבה שאתה יכול לעשות כדי להגן על עצמך בנפרד כאשר מאגרים עצומים של נתונים שנאספו ממקורות ציבוריים ופרטיים דולפים. בדוק את HaveIBeenPwned כדי לראות אם הנתונים שלך היו בחשיפה של Verifications.io, והמשך בערנותך הכללית לגבי השימוש סיסמאות חזקות וייחודיות, מעקב אחר הדוחות הכספיים שלך ומתן מספר תעודת זהות בתדירות נמוכה כמו אפשרי. אבל דעו גם לכם שאף אחד מהאמצעים הללו לא מספק פתרון מלא לבעיה זו בקנה מידה של החברה.
האופי המפורק של נתוני Verifications.io החשופים מדבר על המצב הכאוטי של תעשיית הנתונים באופן כללי. המידע האישי של אנשים משותף על ידי חברות ענק כמו פייסבוק, קנה ונמכר על ידי Shady משווקים, או נגנבו מענקיות הנתונים ונידון להסתובב בלי סוף בצירוף המצרף של הפושע פורומים. הנטישה מקשה על הצרכנים לשלוט למי יש את הנתונים שלהם ולאן הם מגיעים. כפי שמנסח זאת האנט, "למרבה הצער, זה רק עוד יום באינטרנט."
הסיפור הזה הופיע במקור ב wired.com.
