‘Uploaden naar malware-scanning websites leidt tot datalekken’

Bedrijven laten per ongeluk vertrouwelijke bestanden op het internet achter die open zijn om te downloaden voor derden. Dit gebeurt door het uploaden van bestanden naar malware-scanning websites, die vervolgens alles openbaar maken.

White-hat-hackers bij securitybedrijf Cyjax melden dat bijvoorbeeld IT-personeel en securityonderzoekers bij gratis malware-scanservices indienen om te controleren op malware. Ze zijn zich er vervolgens echter niet van bewust dat deze bestanden voor iedereen toegankelijk zijn.

Deze websites openen bestanden in veilige sandboxes om kwaadaardig gedrag op te speuren. Bedrijven sturen bijvoorbeeld e-mailbijlagen door naar deze sites om te controleren of er zich malware in bevindt. Veel bedrijven weten echter niet dat de sites de ingediende documenten publiceren.

“Met deze diensten kan iedereen een bestand uploaden en vervolgens een rapport genereren over wat er gebeurt wanneer het bestand wordt geopend; ze geven dan een indicatie of het bestand kwaadaardig of goedaardig is,” meldde het Cylab-team van Cyjax. “De gekozen diensten hebben allemaal publieke feeds en vereisen geen betaling om de publieke inzendingen te downloaden of te bekijken.”

Gevoelige documenten

Door drie van dit soort diensten eerder deze maand onder de loep te nemen konden Cylab-hackers meer dan 200 documenten verzamelen. Het ging vooral om inkooporders en facturen. In sommige gevallen vonden ze echter ook gevoeligere informatie. Hierbij gaat het om bijvoorbeeld juridische documenten, verzekeringsformulieren en overheidsdocumenten die persoonlijke informatie bevatten.

Alleen al de meer alledaagse bestanden, zoals inkooporders, kunnen veel van de interne processen van een bedrijf onthullen. Zo kunnen cybercriminelen genoeg informatie verkrijgen om een gerichte aanval uit te voeren. Het Cylab-team merkte op dat veel organisaties geen idee hadden dat de geüploade documenten voor iedereen toegankelijk waren. Bedrijven moeten daarom volgens Cyjax overwegen om een eigen tool aan te bieden, of op zijn minst werknemers trainen in het gebruik van dit soort sites.