350 millioner e-mails er fundet i en spand, der muligvis er blevet udsat siden 2018

Når du indtaster din e-mail-adresse i en registreringsformular, er du virkelig sikker på, hvor den vil ende? Svaret er 'nej, det er du ikke.' Du tror måske, at kun den tjenesteudbyder, du opretter en konto med, vil se den, men sandheden er ofte, at dette ikke er tilfældet.

Ud over det faktum, at nogle webstedsoperatører deler dine data med tredjepart (med eller uden dit samtykke), bliver dine personlige oplysninger muligvis også stjålet. Når hackere tager dem, kan de bruge dem til deres egne ondsindede kampagner, eller de kan sælge dem til andre cyberkriminelle. De kan også lægge dem i en forkert konfigureret Amazon S3-spand og glemme dem i 18 måneder.

Forskere finder en glemt e-mailadresse i en eksponeret S3-spand

I begyndelsen af juni snublede et team af forskere fra CyberNews over det næste i en meget lang række ubeskyttede AWS S3-spande, der indeholder personlige oplysninger fra millioner af intetanende brugere.

Deres undersøgelse kunne ikke bestemme ejeren af spanden, hvorfor de underrettede Amazon direkte, og den 10. juni blev dataene trukket offline. På det tidspunkt var den imidlertid blevet udsat i mindst 18 måneder. I løbet af denne periode kunne enhver, der vidste, hvor de skulle se, have adgang til dataene inde i dem. Men hvad afslørede den lækkende spand nøjagtigt?

Den gode nyhed er, at forskerne ikke fandt nogen adgangskoder, kreditkortoplysninger, personnummer eller andre oplysninger, der kunne føre direkte til identitetstyveri. I stedet indeholdt spanden i alt 350 millioner unikke e-mail-adresser, der ifølge CyberNews blev stjålet i 2018.

Selvom dette er langt fra den største datalækage, vi nogensinde har set, er antallet bestemt betydeligt. De berørte brugere har en meget reel risiko for at modtage en spærring af spam-e-mails, og hvis angribere er motiverede nok, kunne ofrene også blive målrettet af mere uhyggelige kampagner. CyberNews sammensatte en HaveIBeenPwned-lignende checker, der kan fortælle dig, om din e-mail-adresse var i den udsatte spand.

Dataene har været på en ganske rejse

At have din e-mail-adresse udsat uden dit samtykke er ikke behageligt, men det må siges, at manglen på særligt følsomme oplysninger minimerede den potentielle skade, som lækagen kan forårsage. Faktisk er det, der er mere bekymrende, antallet af ubesvarede spørgsmål omkring dataforekomsten.

Der var i alt 67 filer i S3-spanden, men de eksponerede e-mail-data var i 21 af dem. Syv CSV-regneark indeholdt adresserne i hashformet form. Yderligere syv CSV'er indeholdt de samme data, kun hashede og saltet med den svage MD5-algoritme. De sidste syv regneark indeholdt de 350 millioner e-mail-adresser i almindelig tekst.

Filernes tidsstempler antyder, at data oprindeligt var hashet med en algoritme, som CyberNews ikke navngav. Cyberkriminelle brød tilsyneladende med det og fandt ud af, at den, der indsamlede dataene, havde tilføjet yderligere beskyttelse med MD5. Efter at de kom igennem det, endte hackerne med klartekstdata.

Naturligvis forbliver e-mails oprindelse ukendt, hvilket betyder, at alt dette er mere eller mindre spekulation. Foruden e-mails indeholdt den lækkende spand også stemmeoptagelser af salgspladser vedrørende et nu nedlagt selskab kaldet RepWatch. RepWatch har efterladt nogen online spor, men ved tingenes udseende var det en omdømmeovervågningstjeneste, der hjalp onlinemarkedsførere lettere at nå deres mål. Det stoppede med at fungere længe før CSV-filerne fandt vej til den udsatte Amazon-spand, så det er virkelig svært at sige, om der er en forbindelse.

I øjeblikket er der flere spørgsmål end svar. For alt hvad vi ved, kan den organisation, der oprindeligt indsamlede e-mail-adresserne, ikke engang være opmærksom på tyveriet. Det eneste sølvfor til de berørte brugere er, at ingen andre data ser ud til at være blevet udsat for denne særlige spand. Ikke desto mindre bør ofrene holde deres øjne skrælne for eventuelle svindel.