La empresa RCM (American River City Media) se dedica, entre otras cosas, a enviar emails de sus clientes a millones de personas, de hecho envían hasta 1.000 millones de emails cada día, y se encuentran ahora con un problema de seguridad que puede acabar con sus atividades.
Durante una operación de backup se han expuesto por error los datos de 1.370 millones de emails, junto con nombres y direcciones, así como documentos que explican las acciones que la empresa realiza para llevar a cabo campañas de spam.
El experto en seguridad Chris Vickery, de MacKeeper, empresa especializada en soluciones de seguridad para ordenadores Mac, detectó el problema después de ver cómo la información se hizo pública por una rutina de rsync mal configurada. Rsync sincroniza de forma automática el contenido existente en dos lugares de almacenamiento, y durante el proceso se filtró la información.
Según Vickery, RCM ha acumulado los emails con la técnica de registro compartido, según la cual algunas plataformas envían nuestro email a «asociados» si dejamos la caja de selección activada (algo que hace la mayoría del mundo). De esta forma, millones de emails se han ido compartiendo entre las empresas, y acabaron llegando a RCM.
Comentan en g1 que Spamhaus, organización dedicada a combatir el spam, ya ha añadido a toda la estructura de RCM a la lista negra, ya que Vickery encontró documentos que indican la adopción de prácticas agresivas para llevar a cabo el spam, siendo una de ellas bastante conocida:
RCM registró cuentas fantasma en Gmail, Yahoo y AOL, y durante algún tiempo fueron los proprios receptores de sus emails comerciales. Como eran propietarios de dichas cuentas, nunca enviaron los emails a spam, de forma que ganaron reputación entre los clientes de correo electrónico. Posteriormente, cuando ya garantizaron que no llegarían a spam, enviaban los millones de correos a los usuarios finales.
Vickery encontró entre los documentos otras técnicas similares, y han sido comunicadas a los proveedores y a las autoridades de Estados Unidos.