SIKKERHET

Mengder av IP- og epostadresser ble lekket av stor backup-spesialist

Informasjon om flere millioner kontakter var fritt tilgjengelig.

Illustrasjonsbilde: Veeam brukte flere dager på å fjerne den åpne tilgangen til en databaseserver som blant annet inneholdt epostadressene til mer enn 4 millioner personer. Bildet er fra keynoten under VeeamON 2017-konferansen til selskapet.
Illustrasjonsbilde: Veeam brukte flere dager på å fjerne den åpne tilgangen til en databaseserver som blant annet inneholdt epostadressene til mer enn 4 millioner personer. Bildet er fra keynoten under VeeamON 2017-konferansen til selskapet. Foto: Veeam
Harald BrombachHarald BrombachNyhetsleder
14. sep. 2018 - 20:00

Veeam skriver på selskapets nettsted at dataene må bli hypertilgjengelige, noe selskapet forsøker å hjelpe kundene med ved hjelp av ulike backup- og tilgjengelighetsløsninger. Men nylig har selskapet overgått seg selv og gjort en kjempestor markedsdatabase offentlig tilgjengelig via internett. Det var ikke meningen.

Ifølge Threatpost ble lekkasjen funnet av sikkerhetsforskeren Bob Diachenko, som varslet selskapet den 5. september. Det gikk likevel fire dager før den offentlige tilgangen ble fjernet, og da først etter gjentatt varsler fra både Diachenko og en TechCrunch-journalist.

Flere millioner

Det skal ha dreid seg om en MongoDB-server i Amazons nettsky som var feilkonfigurert, slik at tilgang ikke krevde noen form for autentisering, altså passord. 

Den mer enn 200 gigabyte store databasen skal ha inneholdt mer enn 440 millioner epostoppføringer, hvorav mange kan ha inneholdt både navn, epostadresse og IP-adresse. 

I en uttalelse skriver president og co-CEO i Veeam, Peter McKay, at mange av oppføringene er duplikater eller knyttet til den samme epostadressen, slik at det totale antallet berørte epostadresser skal være rundt 4,5 millioner. Selskapet oppgir selv at det har 307 tusen kunder og 57 600 partnere.

Ikke sensitivt

– Jeg kan forsikre dere om at det ikke var noe sensitiv informasjon, da Veeam ikke samler inn sensitiv personinformasjon fra kunder, potensielle kunder eller partnere, skriver McKay. 

En kan selvfølgelig diskutere om kombinasjonen av navn, epostadresse og IP-adresse er sensitiv eller ikke. Diachenko mener at informasjonen ikke er sensitiv, men legger til at en slik database må være en skattkiste for dem som driver med spam og phishing.

Utbredt feil

McKay skriver at feilkonfigureringen skyldtes en menneskelig feil, men Diachenko påpeker at disse konfigurasjonsfeilene har vært kjent som et stort problem siden i alle fall 2013 og at MongoDB-leverandøren har oppdatert programvaren med sikre standardinnstillinger. 

Likevel er et mange usikrede databaser tilgjengelige på nettet, som er nokså enkle å finne ved hjelp av verktøy som Shodan

Dette har også ført til at det har blitt utviklet utpressingsvare som er spesialisert på å kryptere slike åpent tilgjengelige databaser. 

– Det er bare flaks at denne databasen ikke har blitt berørt av den nye bølgen med ransomware-angrep som spesielt har blitt rettet mot MongoDB-databaser, skriver Diachenko.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.