漏洞預警信息：Verifications.io和Facebook Messenger均發生致命漏洞

Verifications.io資料庫發生泄露，8億多用戶數據被曝光

Security Discovery安全研究人員Bob Diachenko，剛剛披露了一個可被公開訪問的MongoDB資料庫，其中包含了超過8.08億個電子郵件地址、以及其它純文本記錄。

事情是這樣的，Bob Diachenko在上周發現了一個沒有經過安全防護的、可公開訪問的MongoDB資料庫，其中包含了140多G的詳細營銷數據，以及808539939個電子郵箱地址。Bob Diachenko發現的MongoDB資料庫包含四個獨立的記錄文件夾，最大的一個名為mailEmailDatabase，分為三個文件夾：

·Emailrecords（798171891條記錄）；

·emailWithPhone（4150600條記錄）；

·businessLeads（6217358條記錄）；

包含最多記錄的Emailrecords文件夾包含比如電子郵件、用戶 IP 地址、出生日期、郵政編碼、地址、性別、電話號碼等內容。而且還有類似商業情報這樣的數據，比如來自不同公司的員工和收入數據。

這總計超過8.08億條的記錄，最終可追溯到一個名為Verifications.io的公司。

目前可以確定，此次信息的泄露與Verifications.io的電子郵件驗證服務相關，該漏洞已經於2月25日被曝光到互聯網上，且允許被公眾訪問。在Bob Diachenko向Verifications.io報告了這個漏洞之後，現該網站已處於離線狀態，截至發稿時尚未恢復。

Verifications.io是一家什麼公司呢？為什麼會有這麼多詳細的數據記錄，經過一番調查，我們發現，該公司主要面向企業提供「電子郵件驗證」服務 ，顯然涉及讓客戶上傳電子郵件地址列表以進行驗證的操作。

雖然你可能從未聽說過什麼郵件驗證公司，但是它們已經在電子郵件的營銷行業中扮演著至關重要的角色。他們專門負責審查郵件列表，以確保其中的電子郵件地址是有效的。一些營銷公司為了進行精準營銷就會使用與這樣的公司合作，電子郵件營銷公司通常會將這項工作外包出去。但是，要完全驗證電子郵件地址的有效性，就需要向該地址發送一條消息，並確認它已被發送，本質上郵件驗證公司是在向人們發送垃圾郵件。所以為了防止發出的郵件被當作垃圾屏蔽，Verifications.io等類似的公司就要規避互聯網服務提供商和平台（如Gmail）的保護。

目前Verifications.io對外的回應如下：

經過仔細檢查，我們發現用於附加信息的資料庫似乎出現了短暫的暴露。不過，大多數數據都是從各種來源公開獲取的，而非客戶構建的企業資料庫。

但Bob Diachenko對這一說法表示懷疑：既然數據是公開的，那為何關閉資料庫，讓網站處於離線狀態呢？除了電子郵件的配置文件外，資料庫中還包含了某些列表用戶的詳細信息（130 條記錄）。在這些記錄中，研究人員還發現了一些似乎是Verifications.io的內部工具，如測試電子郵件的賬戶、數百台SMTP（電子郵件發送）伺服器、電子郵件文本、反垃圾郵件規避基礎設備、要避免的關鍵字信息以及進入黑名單的IP地址，還有就是訪問FTP伺服器用的上傳或下載郵件列表的名稱和登陸憑證，我們只能推測，這些其實並非公開數據。

安全研究員Vinny Troya正在將Verifications.io的數據添加到他名為NightLion Security（類似於HaveIBeenPwned）的公共服務系統中，該系統可幫助人們檢查他們的信息數據是否在泄露中受到了損害。他表示，這些新泄露的電子郵件許多都是原來的資料庫所沒有的。

當犯罪分子獲得大量匯總的個人信息時，他們就更容易實施新的精準攻擊，或擴大其攻擊目標。

目前Bob Diachenko還不清楚這數億人的數據，是如何被獲得的?

Facebook Messenger出現了一個能讓他人看到你通訊記錄的漏洞

去年11月Imperva的安全研究員Ron Masas發現Facebook搜索結果沒有得到適當的保護，不會受到跨站點請求偽造（CSRF）攻擊。換句話說，一個網站可以在另一個標籤中悄悄的從您登錄的Facebook個人資料中抽取某些數據。Masas認為是惡意網站嵌入IFRAME（用於在網頁中嵌套網頁），來靜默收集個人資料信息的。這意味著如果用戶訪問特定網站，攻擊者就可以打開Facebook並可以收集有關用戶及其朋友的信息。比如惡意網站可以在新標籤中打開幾個Facebook搜索查詢，並運行可以返回「是」或「否」響應的查詢。即使被設置成隱私，也能暴露了用戶和他們的朋友的興趣。事後，Facebook很快修復了這個漏洞。

不過根據安全研究組織Imperva的Ron Masas的研究，這個漏洞還存在於Facebook Messenger中，它可以讓網站曝光你在Facebook Messenger上與誰聊天。

黑客可能會通過欺騙用戶訪問惡意網頁的鏈接來將繼續利用該漏洞，如果用戶點擊了惡意網頁上的任何地方（比如「播放視頻」按鈕），則攻擊就開始了，這將使黑客能夠在新的Facebook標籤上運行任何查詢並提取個人數據。此時黑客可以定位Facebook用戶的網路瀏覽器並利用iframe元素來查看用戶與之交談的朋友以及哪些朋友不在用戶的聯繫人列表中。Imperva證實，黑客無法從攻擊中獲得任何其他數據。

目前基於瀏覽器的邊信道攻擊(side channel attack 簡稱SCA)仍然是一個被忽視的方向，雖然像Facebook和谷歌這樣的大公司正在朝這方面努力，但大多數公司還沒有意識到它的危害。2019年可能是它的爆發元年，因為邊信道攻擊通常不會留下什麼攻擊痕迹。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！