Onzorgvuldige serverconfiguratie door Veeam legde 200GB aan data bloot

Abonneer je gratis op Techzine!

Veeam, dat zich specialiseert in datamanagement gerelateerd aan de cloud, is het volgende bedrijf dat consumentengegevens bloot heeft gelegd, door een cloud instance verkeerd te configureren. Het blijkt dat ruwweg 200 gigabyte aan data van meer dan 440 miljoen klanten in te zien waren.

Dat schrijft veiligheidsonderzoeker Bob Diachenko in een blog op LinkedIn. Het lek werd ontdekt in een MongoDB-database die gehost werd op Amazon Web Services. Hij ontdekte de data via een zoekopdracht in de Shodan-zoekmachine, die de data op 31 augustus geïndexeerd had. Dat betekent dat anderen de gegevens ook ingezien kunnen hebben.

Geen privégegevens

Diachenko stelt dat hij op 5 september de data vond en er direct een analyse op losgelaten heeft. De “server was voor iedereen te doorzoeken en stond tot 9 september volledig open, waarna deze in alle stilte veilig gemaakt is”. Voor die tijd had hij volgens eigen zeggen al een aantal berichten gestuurd naar Veeam.

De gegevens die gelekt zijn, zijn vooral gerelateerd aan marketing – daaronder vallen vooral mailadressen. Er zitten dus niet zoveel gevoelige persoonlijke gegevens in, maar het gaat wel om zakelijke contacten die misbruikt kunnen worden. In een statement laat Veeam weten dat het zich er nu van verzkeerd heeft dat alle databases die het beheert veilig zijn.

Grote groei

Afgelopen mei had Veeam 300.000 klanten. Elke dag krijgt het er 133 nieuwe bij; ruwweg zijn dat er 10.000 per kwartaal. Aangezien de data die openbaar waren gemaakt geen persoonlijke of vertrouwelijke informatie bevatte, is de kans vrij klein dat die groeicijfers hieronder te lijden hebben.

Toch is het lek erg vervelend voor Veeam. De meeste datalekken vinden plaats doordat kwaadwillenden wachtwoorden weten buit te maken, of de genomen beveiligingsmaatregelen vrij matig zijn. Maar in dit geval is daar geen sprake van en is er simpelweg niet voldoende gedaan voor het beschermen van de gegevens. Menselijke fout dus; en precies dat blijft het meest gevaarlijke als het aankomt op security.