Dos investigadores de seguridad han descubierto una base de datos MongoDB no protegida y de acceso público que contenía 150 Gbytes de datos en texto simple con 809 millones de registros, incluidas 763 millones de direcciones de correo electrónico únicas.

Las violaciones de seguridad y la exposición de datos on-line es el cuento de nunca acabar. La que nos ocupa es una de las peores de la historia, no solo por el número de registros sino también por su contenido inusual ya que además de datos sobre consumidores individuales, así como lo que parecen ser “datos de inteligencia de negocios” como cifras de empleados e ingresos de varias compañías.

Por supuesto, no falta una carpeta de registros de correo electrónico que incluye los datos personales habituales como nombre y apellido, la fecha de nacimiento, el correo electrónico, el número de teléfono, el código postal, la dirección, el sexo y la dirección IP para cada entrada por separado. También otras como el monto de la hipoteca personal, la tasa de interés, las cuentas de Facebook, LinkedIn e Instagram asociadas con las direcciones de correo electrónico y las puntuaciones de crédito.

Los investigadores realizaron una comprobación cruzada de una selección de registros aleatorios de la base de datos con la base de datos Have I Been Pwned mantenida por Troy Hunt y llegaron a la conclusión de que no formaban parte de ninguna violación anterior, lo que llevó a la conclusión de que se trataba de un conjunto nuevo y único de datos.

La base de datos corresponde a la firma de “validación de correo electrónico“ Verifications.io. Si bien es probable que nunca hayas oído hablar de ellos, los validadores desempeñan un papel crucial en la industria del marketing por correo electrónico. No envían correos electrónicos por cuenta propia ni facilitan campañas masivas de correo electrónico. En su lugar, examinan la lista de correo de un cliente para asegurarse de que las direcciones de correo electrónico que contiene son válidas.

Las empresas de marketing por correo electrónico convencionales a menudo subcontratan este trabajo en lugar de correr el riesgo de que posicionen su infraestructura en listas negras con filtros de correo no deseado o reducir sus puntuaciones de reputación en línea. El trabajo sucio lo hacen otros. La verificación completa de que una dirección de correo electrónico funciona implica enviar un mensaje a la dirección y confirmar que se entregó, esencialmente enviando correos electrónicos no deseados. Ello significa evadir las protecciones de los proveedores de servicios de Internet y plataformas como Gmail.

Hay que parar todo este disparate

El CEO de Apple, Tim Cook, ha pedido recientemente una regulación para abordar la “economía en la sombra” de las empresas de datos, nuevas normas que promuevan un cambio radical en la industria de la tecnología y cómo las empresas manejan los datos en línea.

Cook pide proteger cuatro derechos esenciales que considera deberían convertirse en legislación: el derecho a que se minimicen los datos personales; el derecho de los usuarios a saber qué datos se recopilan en ellos; el derecho de acceder a esos datos; y el derecho a que esos datos se mantengan de forma segura.

Los datos son oro en la era de Internet y no son pocos los que critican las mafias en torno a su manejo, una economía sumergida que en gran medida no está controlada, fuera de la vista de los consumidores, reguladores y legisladores.

A nadie puede extrañar que los usuarios de Internet estén perdiendo la confianza en las empresas que tienen los datos como punto central de su modelo de negocio por las cuestiones de privacidad, la falta de transparencia y la incapacidad de mantener seguros sus datos. Más información | Security Discovery