محققان امنیتی توانستند به یک بات هرزنامه ای نفوذ کرده و در آن فهرست ۷۱۱ میلیونی از رکوردها را مشاهده کنند که در این فهرست ایمیل ها، پسورد ایمیل ها و همچنین گواهی نامه های SMTP و فایل های پیکربندی موجود بود. این بات هرزنامه Onliner نام داشته و حداقل از سال ۲۰۱۶ میلادی فعال بوده است و بیشتر به توزیع تروجان بانکی Ursnif می پرداخته است.
یک محقق امنیتی ماهها بود که بر روی این بات تحقیق و بررسی انجام میداد و یک دایرکتوری قابل دسترسی را بر روی سرور آن که در هلند میزبانی میشود کشف کرد. او اعلام کرد قادر است از این دایرکتوری نزدیک به ۵۰ گیگابایت داده به دست آورد. محققان میگویند در حالیکه به مراجع قضایی و قانونی اطلاعرسانی شده ولی این سرور همچنان قابل دسترسی است.
این محقق امنیتی اعلام کرده در بین این دادهها نزدیک به ۸۰ میلیون گواهینامه نیز وجود دارد که هنوز بهطور دقیق نمیتوان گفت از کجا آمدهاند. هرچند حدس زده میشود که ۲ میلیون از این گواهینامهها مربوط پویش فیشینگ فیسبوک هستند. محققان میگویند در این دادههایی که منتشر شده، گواهینامههای SMTP و فایلهای پیکربندی اطلاعات بسیار کلید هستند که مهاجمان میتوانند از آنها بهرهبرداری کنند.
تروجان بانکی Ursnif دارای دو ماژول است که برای ارسال هرزنامه و ایجاد فهرستی از گواهینامههای SMTP مورد استفاده قرار میگیرد. محققان با بررسیهای بیشتر بر روی این اطلاعات متوجه شدند که بسیاری از این آدرسهای ایمیل تکراری هستند و تعداد افرادی که تحت تاثیر این نقض داده قرار گرفتهاند مسلما بسیار کمتر از ۷۱۱ میلیون نفر است.
با این حال، یکی از فایلها حاوی ۱٫۲ میلیون آدرس ایمیل بههمراه پسوردهای درهمسازی شده است که به نظر میرسد مربوط به نقض دادهی لینکدین هستند. یکی دیگر از فایلها حاوی ۴٫۳ میلیون آدرس ایمیل به همراه پسورد آنها است که به گفتهی محققان در انجمنهای زیرزمینی Exploit[.]In دیده شده است.