350 miljoner e-postmeddelanden har hittats i en hink som kanske har exponerats sedan 2018

När du anger din e-postadress i ett registreringsformulär, är du verkligen säker på var den kommer att hamna? Svaret är "nej, det är du inte." Du kanske tror att bara tjänsteleverantören du skapar ett konto med kommer att se det, men sanningen är ofta att detta inte är fallet.

Utöver det faktum att vissa webbplatsoperatörer delar dina uppgifter med tredje parter (med eller utan ditt samtycke), kan din personliga information också bli stulen. När hackare tar dem kan de använda dem för sina egna skadliga kampanjer, eller de kan sälja dem till andra cyberbrottslingar. De kan också lägga dem i en felkonfigurerad Amazon S3-hink och glömma dem i 18 månader.

Forskare hittar en glömd e-postadress i en exponerad S3-hink

I början av juni snubblat ett team av forskare från CyberNews över nästa i en mycket lång rad av oskyddade AWS S3-hinkar som innehåller personlig information från miljontals intetanande användare.

Deras utredning kunde inte fastställa ägaren till skopan, varför de anmälde Amazon direkt, och den 10 juni drogs data offline. Då hade den emellertid exponerats i minst 18 månader. Under den perioden kunde alla som visste var de skulle titta på informationen inuti den. Men vad avslöjade den läckande hinken exakt?

Den goda nyheten är att forskarna inte hittade några lösenord, kreditkortsuppgifter, personnummer eller annan information som kan leda direkt till identitetsstöld. Istället innehöll skopan totalt 350 miljoner unika e-postadresser som enligt CyberNews stulits 2018.

Även om detta är långt ifrån den största dataläckan vi någonsin har sett, är antalet definitivt betydande. De drabbade användarna löper en mycket verklig risk att få en spår av skräppostmeddelanden, och om angriparna är tillräckligt motiverade kan offren också riktas av mer olyckliga kampanjer. CyberNews sätter ihop en HaveIBeenPwned-liknande kontroller som kan berätta om din e-postadress var i den exponerade hinken.

Uppgifterna har varit på en resa

Att ha din e-postadress exponerad utan ditt samtycke är inte trevligt, men det måste sägas att avsaknaden av särskilt känslig information minimerade den potentiella skador som läckan kan orsaka. Det som är mer oroande är faktiskt antalet obesvarade frågor kring uppgifternas ursprung.

Totalt fanns 67 filer i S3-hinken, men de exponerade e-postdata fanns i 21 av dem. Sju CSV-kalkylark innehöll adresserna i hashform. Ytterligare sju CSV-filer innehöll samma data, bara hasades och saltades med den svaga MD5-algoritmen. De sju sista kalkylarken innehöll de 350 miljoner e-postadresserna i vanlig text.

Filernas tidsstämplar antyder att uppgifterna från början hasades med en algoritm som CyberNews inte namnger. Cyberbrottslingarna bröt uppenbarligen det och fick reda på att den som samlade in uppgifterna hade lagt extra skydd med MD5. När de kom igenom det hamnade hackarna med klartextdata.

Naturligtvis förblir e-postens ursprung okänt, vilket betyder att allt detta är mer eller mindre spekulation. Förutom e-postmeddelandena innehöll den läckande skopan också röstinspelningar av försäljningsplatser angående ett nu avaktiverat företag som heter RepWatch. RepWatch har inte lämnat några spår online, men med tanke på det var det en rykteövervakningstjänst som hjälpte onlinemarknadsförare att nå sina mål lättare. Det slutade fungera länge innan CSV-filerna hittade vägen till den exponerade Amazon-hinken, så det är verkligen svårt att säga om det finns en anslutning.

I dagsläget finns det fler frågor än svar. För allt vi vet kan den organisation som ursprungligen samlade in e-postadresserna inte ens vara medveten om stölden. Det enda silverfodret för de drabbade användarna är att ingen annan data verkar ha blivit utsatt av denna speciella hink. Ändå bör offren hålla ögonen skalade för eventuella bedrägerier.