350 miljoen e-mails zijn gevonden in een emmer die sinds 2018 mogelijk is blootgesteld

Als u uw e-mailadres invoert in een registratieformulier, weet u dan echt zeker waar het terecht zal komen? Het antwoord is 'nee, dat ben je niet.' U denkt misschien dat alleen de serviceprovider waarbij u een account aanmaakt, het zal zien, maar de waarheid is dat dit vaak niet het geval is.

Naast het feit dat sommige website-exploitanten uw gegevens met derden delen (met of zonder uw toestemming), kunnen uw persoonlijke gegevens ook gestolen worden. Als hackers ze afpakken, kunnen ze ze gebruiken voor hun eigen kwaadwillende campagnes, of ze kunnen ze verkopen aan andere cybercriminelen. Ze kunnen ze ook in een verkeerd geconfigureerde Amazon S3-emmer plaatsen en ze 18 maanden vergeten.

Onderzoekers vinden een vergeten schat aan e-mailadressen in een blootgestelde S3-bucket

Begin juni stuitte een team van onderzoekers van CyberNews op de volgende in een zeer lange reeks onbeschermde AWS S3-emmers die de persoonlijke informatie van miljoenen nietsvermoedende gebruikers bevatten.

Hun onderzoek kon de eigenaar van de bucket niet bepalen, daarom hebben ze Amazon rechtstreeks op de hoogte gebracht en op 10 juni werden de gegevens offline gehaald. Tegen die tijd was het echter minstens 18 maanden blootgesteld. In die periode had iedereen die wist waar hij moest zoeken, toegang tot de gegevens erin. Maar wat legde de lekkende emmer precies bloot?

Het goede nieuws is dat de onderzoekers geen wachtwoorden, creditcardgegevens, burgerservicenummers of andere informatie hebben gevonden die rechtstreeks tot identiteitsdiefstal zou kunnen leiden. In plaats daarvan bevatte de bucket in totaal 350 miljoen unieke e-mailadressen die volgens CyberNews in 2018 werden gestolen.

Hoewel dit verre van het grootste datalek is dat we ooit hebben gezien, is het aantal zeker significant. De getroffen gebruikers lopen een zeer reëel risico om een spervuur van spam-e-mails te ontvangen, en als de aanvallers voldoende gemotiveerd zijn, kunnen de slachtoffers ook het doelwit worden van meer sinistere campagnes. CyberNews heeft een HaveIBeenPwned-achtige checker samengesteld die u kan vertellen of uw e-mailadres in de blootgestelde bucket stond.

De gegevens hebben een behoorlijke reis afgelegd

Het vrijgeven van uw e-mailadres zonder uw toestemming is niet prettig, maar het moet gezegd worden dat het ontbreken van bijzonder gevoelige informatie de potentiële schade die het lek zou kunnen veroorzaken, tot een minimum heeft beperkt. Nog verontrustender is het aantal onbeantwoorde vragen over de oorsprong van de gegevens.

Er waren in totaal 67 bestanden in de S3-bucket, maar de blootgestelde e-mailgegevens waren er in 21. Zeven CSV-spreadsheets bevatten de adressen in gehashte vorm. Nog eens zeven CSV's bevatten dezelfde gegevens, alleen gehasht en gezouten met het zwakke MD5-algoritme. De laatste zeven spreadsheets bevatten de 350 miljoen e-mailadressen in platte tekst.

De tijdstempels van de bestanden suggereren dat de gegevens aanvankelijk waren gehasht met een algoritme dat CyberNews niet noemde. De cybercriminelen hebben het blijkbaar gebroken en kwamen erachter dat degene die de gegevens had verzameld extra bescherming had geboden met MD5. Nadat ze er doorheen waren gekomen, eindigden de hackers met de leesbare-tekstgegevens.

De herkomst van de e-mails blijft natuurlijk onbekend, wat betekent dat dit allemaal min of meer speculatie is. Naast de e-mails bevatte de lekkende emmer ook spraakopnames van verkooppraatjes over het inmiddels ter ziele gegane bedrijf RepWatch. RepWatch heeft vrijwel geen sporen achtergelaten, maar zo te zien was het een reputatiemonitoringservice die online marketeers hielp hun doelen gemakkelijker te bereiken. Het werkte niet lang voordat de CSV-bestanden hun weg vonden naar de blootgestelde Amazon-bucket, dus het is echt moeilijk om te zeggen of er een verbinding is.

Zoals de zaken er nu voorstaan, zijn er meer vragen dan antwoorden. Voor zover we weten, is de organisatie die de e-mailadressen oorspronkelijk heeft verzameld misschien niet eens op de hoogte van de diefstal. De enige zilveren voering voor de getroffen gebruikers is dat er geen andere gegevens lijken te zijn blootgelegd door deze specifieke bucket. Desalniettemin moeten slachtoffers hun ogen openhouden voor mogelijke oplichting.