Alla fine della scorsa settimana, Bob Diachenko ha rivelato di aver scoperto un server MongoDB non protetto con oltre 808 milioni di record che “erano accessibili pubblicamente a chiunque disponga di una connessione Internet”. Il server appartiene alla società Verifications.io che offre servizi di email marketing, in particolare di verifica degli indirizzi per migliorare le performance delle campagne pubblicitarie, che ha ritirato il database subito dopo essere stata avvisata del grave problema di sicurezza riscontrato da Diachenko venerdì 8 marzo. Attualmente l’intero sito Web dell’azienda è offline.
Dopo la segnalazione, la società di sicurezza informatica DynaRisk incaricata dell’indagine sull’incidente ha scoperto che la quantità di dati esposti era di molto superiore a quella scoperta da Diachenko. Infatti, la ricerca della compagnia ha rivelato come ad essere pubblicamente disponibili fossero ben quattro database rispetto all’unico individuato da Diachenko. Invece degli iniziali 150 gigabyte, si è passati quindi a 196 gigabyte contenenti oltre 2 miliardi di record.
In che modo questa violazione può coinvolgerci?
I record contenevano miriadi di dati, tra cui spiccano i circa 768 milioni di indirizzi email. In molti casi si è riusciti ad associare a questi indirizzi di posta elettronica i nomi dei proprietari, gli account dei social media, i numeri di telefono, le date di nascita, i codici postali, fino a informazioni finanziarie come gli importi dei mutui, i tassi di interesse applicati e altre ancora. Sono risultati esposti addirittura le ragioni sociali, i ricavi e altri dati specifici di diverse di aziende.
Fortunatamente però altri dati importanti come le password, i numeri di previdenza sociale e i dettagli delle carte di credito non erano inclusi nell’istanza MongoDB non protetta.
In ogni caso, questi tipi di dati non sono utili solo per le campagne di marketing, ma anche per tutti i tipi di truffatori, che potrebbero sfruttare tali informazioni per attacchi basati sull’ingegneria sociale.
I dati di Verifications.io coinvolti nell’incidente sono stati aggiunti al database di verifica di Troy Hunt, già noto per il caso Collection #1, che può essere consultato gratuitamente per un controllo sull’esposizione degli account.
ESET Italia consiglia vivamente di verificare periodicamente su questo sito i propri indirizzi email e qualora risultassero esposti di modificarne immediatamente le credenziali di accesso, attivando ove possibile un sistema di autenticazione a due fattori in modo da migliore sensibilmente la sicurezza dei propri dati.
Lascia un commento