Rubrik lekte grote database met klantgegevens door beveiligingsprobleem

Door een fout in de beveiliging van een server is een grote database met klantinformatie van Rubrik gelekt. De server werd een uur na een melding van TechCrunch, de website die Rubrik erop attendeerde, offline gehaald. 

De data werd gevonden door beveiligingsonderzoeker Oliver Hough, meldt TechCrunch. De server bleek niet beveiligd te zijn met een wachtwoord, waardoor iedereen die wist waar de server te vinden was er toegang toe kon krijgen. De database zelf draaide om een gehoste Amazon Elasticsearch-server en bevatte tientallen GB’s aan data. Het ging onder meer om namen van klanten, contactinformatie en case work van iedere zakelijke klant.

De data zou teruggaan tot oktober 2018. Een deel van de database was toegewijd aan de zakelijke klanten van Rubrik. Daarmee konden klanten praten met de werknemers van het bedrijf als er problemen of klachten waren. Het ging onder meer om de inhoud van e-mails van klanten die in het systeem zaten. Daarbij zaten in veel gevallen ook handtekeningen met namen, titels van banen en telefoonnummers.

Ieder zakelijk record bevatte ook beschrijvende profielinformatie, bijvoorbeeld om aan te geven of het een Fortune 500-bedrijf was. Rubrik heeft duizenden grote klanten, waaronder de Schotse overheid, het Amerikaanse ministerie van Defensie en CarePoint Health.

Reactie Rubrik

Het bedrijf zelf stelt nu onderzoek te doen. “Terwijl we een nieuwe oplossing voor klantondersteuning bouwen, was een sandbox-omgeving met een subset van de contactinformatie van onze zakelijke klanten en interactiedata van ondersteuning mogelijk tijdelijk toegankelijk”, aldus een woordvoerder. “We hebben het probleem direct rechtgezet.” Verder zegt het bedrijf dat niemand anders dan de beveiligingsonderzoeker die het probleem vond toegang heeft gekregen tot de informatie. Er werd geen bewijs gegeven voor die claim.

“We hebben de oorzaak herleid naar een menselijke fout. Een standaard toegangsinstelling was niet gewijzigd volgens onze standaard praktijken. We hebben onze processen gewijzigd om te voorkomen dat het nog een keer gebeurd. Privacy en beveiliging zijn erg belangrijk voor ons en we bieden onze welgemeende excuses aan voor de fout.”