Bob Diachenko今年2月發現一個缺乏密碼保護的MongoDB資料庫,存放了7.98億筆的電子郵件紀錄,Diachenko隨後證實它來自郵件驗證服務供應商Verifications.io。(圖片來源/Bob Diachenk)

安全研究人員Bob Diachenko今年2月發現了一個缺乏密碼保護的MongoDB資料庫,當中存放了多達150GB的資料,包括7.98億筆的電子郵件紀錄,由於資料量龐大,Diachenko原本猜測該資料庫的所有人也許是垃圾郵件發送集團,隨後證實它來自郵件驗證服務供應商Verifications.io。

所謂的電子郵件紀錄(Email Record)包含了電子郵件位址、使用者名稱、用戶姓名、性別及電話等,Diachenko表示,並非所有的紀錄都具備足以辨識郵件位址所有人身分的資訊,但就算只有少部份,也多達數百萬筆。

此外,Diachenko還將此一資料庫與專門蒐集外洩資訊的HaveIBeenPwned資料庫進行比對,顯示出這是一個完全獨特的新資料。

Diachenko還從資料庫中確認了資料庫的所有人,為專門提供電子郵件驗證服務的Verifications.io,這類服務一般是用來確認郵件位址的真實性及有效性,藉由傳送大量的簡單郵件到不同的電子郵件帳號並觀察其反應來過濾出有效的郵件帳號。

在研究此一外洩資料庫及Verifications.io的服務後,Diachenko猜測這可能客戶上傳到Verifications.io,準備展開驗證程序的郵件資料庫,但Verifications.io否認了此一說法,宣稱它是公開資料而非客戶資料。不過Verifications.io還是在接到通知的同一天就關閉了該資料庫。


Advertisement

更多 iThome相關內容