自2018年以来，可能已暴露的存储桶中发现了3.5亿封电子邮件

当您在注册表格中输入电子邮件地址时，您真的确定它的结局在哪里？答案是“不，你不是。”您可能认为只有与您一起创建帐户的服务提供商才能看到它，但事实通常并非如此。

除了某些网站运营商与第三方共享您的数据（在您是否同意的情况下）之外，您的个人信息也可能被盗。当黑客将它们带走时，他们可以将其用于自己的恶意活动，也可以将其出售给其他网络犯罪分子。他们还可以将它们放入配置错误的Amazon S3存储桶中，并忘记使用18个月。

研究人员在暴露的S3存储桶中发现了被遗忘的大量电子邮件地址

6月初，来自CyberNews的一组研究人员在很长的未受保护的AWS S3存储桶中偶然发现了下一个存储桶，其中包含数百万不知情用户的个人信息。

他们的调查无法确定存储桶的所有者，这就是为什么他们直接通知亚马逊的原因，并且在6月10日，数据被下线。但是到那时，它已经暴露了至少18个月。在此期间，知道位置的任何人都可以访问其中的数据。但是漏斗到底暴露了什么？

好消息是，研究人员没有发现任何可能直接导致身份盗用的密码，信用卡详细信息，社会保险号或其他信息。相反，根据CyberNews的数据，该存储桶总共包含3.5亿个唯一电子邮件地址，这些电子邮件地址在2018年被盗。

尽管这与我们从未见过的最大数据泄漏相去甚远，但这个数字绝对是可观的。受影响的用户非常有可能收到大量垃圾邮件，并且如果攻击者有足够的动机，那么更危险的活动也可能成为受害者的目标。 CyberNews组合了一个类似HaveIBeenPwned的检查器 ，可以告诉您您的电子邮件地址是否在公开的存储桶中。

数据已经走了很长一段路程

未经您的同意而暴露您的电子邮件地址并不令人愉快，但是必须说，缺少任何特别敏感的信息将泄漏可能造成的潜在损害降至最低。实际上，更令人担忧的是围绕数据来源的未回答问题的数量。

S3存储桶中总共有67个文件，但是公开的电子邮件数据只有21个。七个CSV电子表格以哈希形式保存地址。另外七个CSV包含相同的数据，仅使用弱MD5算法进行哈希处理和添加盐分。最后的七个电子表格包含3.5亿个纯文本电子邮件地址。

文件的时间戳表明，最初，数据是使用CyberNews未命名的算法进行哈希处理的。网络犯罪分子显然将其破解，并发现收集数据的人都对MD5进行了进一步的保护。他们通过后，黑客最终得到了纯文本数据。

当然，电子邮件的来源仍然未知，这意味着所有这些或多或少都是猜测。除了电子邮件之外，漏水的存储桶还包含有关一家现已倒闭的公司RepWatch的销售宣传的语音记录。 RepWatch几乎没有留下任何在线痕迹，但从外观上看，它是一种声誉监控服务，可帮助在线营销人员更轻松地达到其目标。在CSV文件找到通往公开的Amazon存储桶的方式之前，它就停止了运行，因此很难说是否存在连接。

就目前情况而言，问题多于答案。就我们所知，最初收集电子邮件地址的组织甚至可能没有意识到失窃。受影响用户的唯一一线希望是，此特定存储桶似乎没有暴露其他数据。但是，对于任何潜在的骗局，受害者应睁大眼睛。