自2018年以來，可能已暴露的存儲桶中發現了3.5億封電子郵件

當您在註冊表格中輸入電子郵件地址時，您真的確定它的結局在哪裡？答案是“不，你不是。”您可能認為只有與您一起創建帳戶的服務提供商才能看到它，但事實通常並非如此。

除了某些網站運營商與第三方共享您的數據（在您是否同意的情況下）之外，您的個人信息也可能被盜。當黑客將它們帶走時，他們可以將其用於自己的惡意活動，也可以將其出售給其他網絡犯罪分子。他們還可以將它們放入配置錯誤的Amazon S3存儲桶中，並忘記使用18個月。

研究人員在暴露的S3存儲桶中發現了被遺忘的大量電子郵件地址

6月初，來自CyberNews的一組研究人員偶然發現了一個很長的未受保護的AWS S3存儲桶行，其中包含了數百萬不知情用戶的個人信息。

他們的調查無法確定存儲桶的所有者，這就是為什麼他們直接通知亞馬遜的原因，並且在6月10日，數據被下線。但是到那時，它已經暴露了至少18個月。在此期間，知道位置的任何人都可以訪問其中的數據。但是漏斗到底暴露了什麼？

好消息是，研究人員沒有找到任何可能直接導致身份盜用的密碼，信用卡詳細信息，社會保險號或其他信息。相反，根據CyberNews的數據，該存儲桶總共包含3.5億個唯一電子郵件地址，這些電子郵件地址在2018年被盜。

儘管這與我們從未見過的最大數據洩漏相去甚遠，但這個數字絕對是可觀的。受影響的用戶非常有可能收到大量垃圾郵件，並且如果攻擊者有足夠的動機，那麼更危險的活動也可能成為受害者的目標。 CyberNews組合了一個類似HaveIBeenPwned的檢查器 ，該檢查器可以告訴您您的電子郵件地址是否在公開的存儲桶中。

數據已經走了很長一段路程

未經您的同意而暴露您的電子郵件地址並不令人愉快，但是必須說，缺少任何特別敏感的信息將洩漏可能造成的潛在損害降至最低。實際上，更令人擔憂的是圍繞數據來源的未回答問題的數量。

S3存儲桶中總共有67個文件，但是公開的電子郵件數據只有21個。七個CSV電子表格以哈希形式保存地址。另外七個CSV包含相同的數據，僅使用弱MD5算法進行哈希處理和添加鹽分。最後的七個電子表格包含3.5億個純文本電子郵件地址。

文件的時間戳表明，最初，數據是使用CyberNews未命名的算法進行哈希處理的。網絡犯罪分子顯然將其破解，並發現收集數據的人都對MD5進行了進一步的保護。他們通過後，黑客最終得到了純文本數據。

當然，電子郵件的來源仍然未知，這意味著所有這些或多或少都是猜測。除了電子郵件之外，漏水的存儲桶還包含有關一家現已倒閉的公司RepWatch的銷售宣傳的語音記錄。 RepWatch幾乎沒有留下任何在線痕跡，但從外觀上看，它是一種聲譽監控服務，可以幫助在線營銷人員更輕鬆地達到其目標。在CSV文件找到通往公開的Amazon存儲桶的方式之前，它就停止了運行，因此很難說是否存在連接。

就目前情況而言，問題多於答案。就我們所知，最初收集電子郵件地址的組織甚至可能沒有意識到失竊。受影響用戶的唯一一線希望是，此特定存儲桶似乎沒有暴露其他數據。但是，對於任何潛在的騙局，受害者應睜大眼睛。