2018年以降公開されている可能性があるバケット内で3億5000万のメールが見つかりました
登録フォームにメールアドレスを入力すると、それがどこに行くのか本当にわかりますか?答えは「いいえ、あなたは違います」です。アカウントを作成しているサービスプロバイダーだけがそれを見ると思うかもしれませんが、真実は、多くの場合、そうではありません。
一部のWebサイト運営者が(同意の有無にかかわらず)第三者とデータを共有するという事実に加えて、個人情報も盗まれる可能性があります。ハッカーがそれらを取得すると、自分の悪意のあるキャンペーンに使用したり、他のサイバー犯罪者に販売したりできます。また、誤って構成されたAmazon S3バケットに入れて、18か月間忘れることもあります。
研究者は、公開されたS3バケットで忘れられていた電子メールアドレスの山を見つけます
6月初旬、 CyberNewsの研究チームが、何百万人もの疑いを持たないユーザーの個人情報を含む、保護されていないAWS S3バケットの非常に長い列で次のステップに遭遇しました。
彼らの調査ではバケットの所有者を特定できなかったため、Amazonに直接通知し、6月10日にデータをオフラインにしました。しかし、それまでに少なくとも18か月間曝露されていました。その期間中、どこを見ればよいかを知っている人なら誰でもその中のデータにアクセスできたでしょう。しかし、漏出バケツは正確に何を暴露しましたか?
幸いなことに、研究者たちはパスワード、クレジットカードの詳細、社会保障番号、または個人情報の盗難に直接つながる可能性のあるその他の情報を見つけられませんでした。代わりに、バケットには合計3億5000万の一意のメールアドレスが含まれており、CyberNewsによると、2018年に盗まれました。
これは、これまでに見た最大のデータリークにはほど遠いですが、その数は非常に重要です。影響を受けるユーザーは大量のスパムメールを受信する危険性が非常に高く、攻撃者が十分に動機付けられている場合、被害者はさらに不吉なキャンペーンの標的となる可能性があります。 CyberNewsは、公開されたバケットにメールアドレスが含まれていたかどうかを通知できるHaveIBeenPwnedのようなチェッカーを作成しました。
データはかなりの旅にありました
あなたの同意なしにあなたの電子メールアドレスを公開することは楽しいことではありませんが、特に機密情報の欠如がリークが引き起こす可能性のある損害を最小限に抑えたと言わなければなりません。実際、さらに心配なのは、データの出所を取り巻く未回答の質問の数です。
S3バケットには合計67個のファイルがありましたが、公開された電子メールデータはそのうちの21個でした。 7つのCSVスプレッドシートは、ハッシュ化された形式でアドレスを保持していました。別の7つのCSVには同じデータが含まれており、弱いMD5アルゴリズムでハッシュおよびソルト処理されただけです。最後の7つのスプレッドシートには、3億5000万の電子メールアドレスがプレーンテキストで含まれていました。
ファイルのタイムスタンプは、最初はデータがCyberNewsが指定しなかったアルゴリズムでハッシュされたことを示しています。サイバー犯罪者は明らかにそれを破り、データを収集した人は誰でもMD5で追加の保護を行っていることがわかりました。彼らがそれを乗り越えた後、ハッカーは平文のデータで終わりました。
もちろん、メールの発信元は不明のままです。つまり、これは多かれ少なかれ推測にすぎません。メールに加えて、漏れやすいバケツには、RepWatchと呼ばれる現在消滅している会社に関する売り込みの音声録音も含まれていました。 RepWatchはオンラインの痕跡をほとんど残していませんが、見た目からすると、オンラインマーケターがより簡単にターゲットに到達するのに役立つ評判監視サービスでした。 CSVファイルが公開されたAmazonバケットに到達するずっと前に機能が停止したため、接続があるかどうかを判断するのは非常に困難です。
現状では、答えよりも多くの質問があります。私たちが知っているすべてのことについて、もともとメールアドレスを収集した組織は、盗難に気づいていないかもしれません。影響を受けるユーザーにとって唯一の裏付けは、この特定のバケットによって他のデータが公開されていないように見えることです。それにもかかわらず、被害者は潜在的な詐欺に目を離さないでください。