漏洞预警信息:Verifications.io和Facebook Messenger均发生致命漏洞

lucywang 漏洞 2019年3月11日发布
Favorite收藏

导语:Verifications.io数据库发生泄露,8亿多用户数据被曝光。Facebook Messenger出现了一个能让他人看到你通讯记录的漏洞。

Verifications.io数据库发生泄露,8亿多用户数据被曝光

Security Discovery安全研究人员Bob Diachenko,刚刚披露了一个可被公开访问的MongoDB数据库,其中包含了超过8.08亿个电子邮件地址、以及其它纯文本记录。

事情是这样的,Bob Diachenko在上周发现了一个没有经过安全防护的、可公开访问的MongoDB数据库,其中包含了140多G的详细营销数据,以及808539939个电子邮箱地址。Bob Diachenko发现的MongoDB数据库包含四个独立的记录文件夹,最大的一个名为mailEmailDatabase,分为三个文件夹:

· Emailrecords(798171891条记录);

· emailWithPhone(4150600条记录);

· businessLeads(6217358条记录);

f168b83818af1cb.jpg

包含最多记录的Emailrecords文件夹包含比如电子邮件、用户 IP 地址、出生日期、邮政编码、地址、性别、电话号码等内容。而且还有类似商业情报这样的数据,比如来自不同公司的员工和收入数据。

bc9899bee55da5e.jpg

这总计超过8.08亿条的记录,最终可追溯到一个名为Verifications.io的公司。

目前可以确定,此次信息的泄露与Verifications.io的电子邮件验证服务相关,该漏洞已经于2月25日被曝光到互联网上,且允许被公众访问。在Bob Diachenko向Verifications.io报告了这个漏洞之后,现该网站已处于离线状态,截至发稿时尚未恢复。

Verifications.io是一家什么公司呢?为什么会有这么多详细的数据记录,经过一番调查,我们发现,该公司主要面向企业提供“电子邮件验证”服务 ,显然涉及让客户上传电子邮件地址列表以进行验证的操作。

虽然你可能从未听说过什么邮件验证公司,但是它们已经在电子邮件的营销行业中扮演着至关重要的角色。他们专门负责审查邮件列表,以确保其中的电子邮件地址是有效的。一些营销公司为了进行精准营销就会使用与这样的公司合作,电子邮件营销公司通常会将这项工作外包出去。但是,要完全验证电子邮件地址的有效性,就需要向该地址发送一条消息,并确认它已被发送,本质上邮件验证公司是在向人们发送垃圾邮件。所以为了防止发出的邮件被当作垃圾屏蔽,Verifications.io等类似的公司就要规避互联网服务提供商和平台(如Gmail)的保护。

目前Verifications.io对外的回应如下:

经过仔细检查,我们发现用于附加信息的数据库似乎出现了短暂的暴露。不过,大多数数据都是从各种来源公开获取的,而非客户构建的企业数据库。

但Bob Diachenko对这一说法表示怀疑:既然数据是公开的,那为何关闭数据库,让网站处于脱机状态呢?除了电子邮件的配置文件外,数据库中还包含了某些列表用户的详细信息(130 条记录)。在这些记录中,研究人员还发现了一些似乎是Verifications.io的内部工具,如测试电子邮件的账户、数百台SMTP(电子邮件发送)服务器、电子邮件文本、反垃圾邮件规避基础设备、要避免的关键字信息以及进入黑名单的IP地址,还有就是访问FTP服务器用的上传或下载邮件列表的名称和登陆凭证,我们只能推测,这些其实并非公开数据。

安全研究员Vinny Troya正在将Verifications.io的数据添加到他名为NightLion Security(类似于HaveIBeenPwned)的公共服务系统中,该系统可帮助人们检查他们的信息数据是否在泄露中受到了损害。他表示,这些新泄露的电子邮件许多都是原来的数据库所没有的。

当犯罪分子获得大量汇总的个人信息时,他们就更容易实施新的精准攻击,或扩大其攻击目标。

目前Bob Diachenko还不清楚这数亿人的数据,是如何被获得的? 

Facebook Messenger出现了一个能让他人看到你通讯记录的漏洞

去年11月Imperva的安全研究员Ron Masas发现Facebook搜索结果没有得到适当的保护,不会受到跨站点请求伪造(CSRF)攻击。换句话说,一个网站可以在另一个标签中悄悄的从您登录的Facebook个人资料中抽取某些数据。Masas认为是恶意网站嵌入IFRAME(用于在网页中嵌套网页),来静默收集个人资料信息的。这意味着如果用户访问特定网站,攻击者就可以打开Facebook并可以收集有关用户及其朋友的信息。比如恶意网站可以在新标签中打开几个Facebook搜索查询,并运行可以返回“是”或“否”响应的查询。即使被设置成隐私,也能暴露了用户和他们的朋友的兴趣。事后,Facebook很快修复了这个漏洞。

不过根据安全研究组织Imperva的Ron Masas的研究,这个漏洞还存在于Facebook Messenger中,它可以让网站曝光你在Facebook Messenger上与谁聊天。

黑客可能会通过欺骗用户访问恶意网页的链接来将继续利用该漏洞,如果用户点击了恶意网页上的任何地方(比如“播放视频”按钮),则攻击就开始了,这将使黑客能够在新的Facebook标签上运行任何查询并提取个人数据。此时黑客可以定位Facebook用户的网络浏览器并利用iframe元素来查看用户与之交谈的朋友以及哪些朋友不在用户的联系人列表中。Imperva证实,黑客无法从攻击中获得任何其他数据。

目前基于浏览器的边信道攻击(side channel attack 简称SCA)仍然是一个被忽视的方向,虽然像Facebook和谷歌这样的大公司正在朝这方面努力,但大多数公司还没有意识到它的危害。2019年可能是它的爆发元年,因为边信道攻击通常不会留下什么攻击痕迹。

本文翻译自:https://www.bleepingcomputer.com/news/security/insecure-database-leads-to-over-800-million-records-data-breach/ https://www.grahamcluley.com/facebook-messenger-bug-made-it-possible-for-hackers-to-see-who-you-have-been-chatting-with/如若转载,请注明原文地址: https://www.4hou.com/vulnerable/16654.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论