Fujitsu heeft gevoelige informatie van klanten niet veilig bewaard. AWS-sleutels en wachtwoorden stonden een jaar lang openbaar op het internet gepubliceerd. Het Nederlandse waterleidingbedrijf PWN is één van de slachtoffers.
Beveiligingsonderzoeker Jelle Ursem ontdekte het datalek. Hij werkt voor het Dutch Institute for Vulnerability Disclosure (DIVD). Aan de ontdekking kwam geen inbraakwerk te pas. Gevoelige informatie van klanten werd bewaard in een openbaar toegankelijke Microsoft Azure-opslagbucket.
In de bucket werden onder meer AWS-sleutels en simpelweg leesbare wachtwoorden bewaard. Voor de wachtwoorden stond er bijvoorbeeld een bestand in met gegenereerde sterke wachtwoorden van wachtwoordmanager LastPass. Verder konden er volledige e-mailconverstaties worden gevolgd en bevatte de bucket persoonlijke informatie over teams waar Fujitsu mee samenwerkte.
Onduidelijk meldsysteem
In het voorjaar van 2023 heeft Fujitsu de gevoelige informatie uit de openbare opslagplaats gehaald. Ursem zegt voor de melding van het datalek veel doorzettingsvermogen nodig te hebben gehad. Het bedrijf zou geen duidelijk protocol hebben voor dergelijke beveiligingsmeldingen. Hierdoor moest Ursem terugvallen op zijn eigen contacten.
De beveiligingsonderzoeker zegt verder te twijfelen aan de betrouwbaarheid van Fujitsu op het vlak van security. “Dit is geen indicator voor een zeer goede houding ten aanzien van de huidige staat van hun cyberbeveiliging”, zei hij aan The Stack. Voor deze uitspraak verwijst hij naar de hoge frequentie incidenten waar het bedrijf mee te maken heeft.
Dat gebeurde zelfs deze week nog. De Japanse vestiging meldde slachtoffer te zijn geworden van een cyberaanval. Hackers zouden hierbij malware op de computers hebben geïnstalleerd, waarmee zij bestanden konden stelen. De bestanden betroffen zowel interne informatie als klantendata.
Belangrijk klantenbestand
Fujitsu handelt in veel domeinen van IT en trekt daar een groot en belangrijk klantenbestand mee aan. Tussen de klantenverhalen vinden we getuigenissen van farmaceut Pfizer, opticien Specsavers en de universiteit TU Delft. Bij deze universiteit ondersteunt Fujitsu de bouw van de supercomputer DelftBlue. Er zijn daarnaast een hoop overheidsinstanties die diensten van het bedrijf afnemen.
Hoe belangrijker het klantenbestand, hoe aantrekkerlijker voor hackers. Robuuste beveiligingsmaatregelen mogen binnen Fujitsu met andere woorden niet ontbreken. Deze maatregelen kunnen een cyberaanval alleen niet volledig uitsluiten.
De blunder die Ursem ontdekte, is echter ontstaan door onzorgvuldig omgaan met persoonlijke klantendata. Op dit vlak verwacht Ursem dan ook terecht meer van een bedrijf dat diensten levert aan overheidsinstanties. “Hoe kun je überhaupt vechten tegen mensen die je LastPass-kluis exporteren en in een openbare bucket dumpen?”
In de gelekte data werd onder meer informatie van PWN gevonden. Het bedrijf levert drinkwater aan meer dan 800.000 gezinnen, bedrijven en instellingen in Noord-Holland. Het is nog niet duidelijk of de data voor verkeerde doeleinden werd ingezet.
Lees ook: Fujitsu is op het eerste gezicht een beetje een vreemde IT eend
20 uur geleden
