Een e-mailverificatiedienst waar marketingbedrijven gebruik van maken heeft via een onbeveiligde MongoDB-database 808 miljoen records met privédata gelekt, waaronder 763 miljoen unieke e-mailadressen. Dat laat beveiligingsonderzoeker Bob Diachenko in een blogpost weten.

MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. Geregeld vinden onderzoekers onbeveiligde MongoDB-databases met gevoelige data. In dit geval werd de 150 gigabyte grote database op 25 februari door Diachenko ontdekt. Naast e-mailadressen ging het ook om namen, ip-adressen en geboortedata.Verder onderzoek wees uit dat de database van een e-mailverificatiedienst was met de naam Verifications.io.

Marketingbedrijven maken van dergelijke diensten gebruik. Ze leveren een lijst met te valideren e-mailadressen aan. Vervolgens stuurt de verificatiedienst een e-mail naar de e-mailadressen op de lijst. Wanneer de e-mail aankomst gaat het om een geldig adres, bij een bounce wordt het adres op een bouncelijst geplaatst.

Het zijn echter niet alleen marketingbedrijven die er gebruik van kunnen maken. Ook voor aanvallers die e-mailaccounts via bruteforce-aanvallen willen compromitteren zijn dergelijke diensten handig om te zien welke e-mailaccounts nog bestaan, merkt Diachenko op. Nadat de onderzoeker Verifications.io had gewaarschuwd haalde het bedrijf de database, alsmede de eigen website, offline.