Nieuws
image

Onderzoeker vindt marketingdatabase met 11 miljoen e-mailadressen

dinsdag 18 september 2018, 12:29 door Redactie, 3 reacties

Onderzoeker Bob Diachenko heeft een onbeveiligde marketingdatabase met 11 miljoen e-mailadressen en andere persoonlijke records ontdekt. Diachenko wist de 43,5 gigabyte grote MongoDB-database via de zoekmachine Shodan te vinden. De dataset bestond uit 11 miljoen Yahoo-e-mailadressen, namen, geslacht en adresgegevens. De eigenaar van de database wist de onderzoeker niet te achterhalen.

In de dataset vond hij echter een vermelding naar "SaverSpy" dat onderdeel van Coupons.com is en allerlei kortingsbonnen aanbiedt. Diachenko waarschuwde beide partijen maar kreeg geen reactie. Kort na het versturen van de e-mails was de database echter niet meer toegankelijk. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt.

De onderzoeker merkt op dat de database door de Shodan-zoekmachine al als "gehackt" werd weergegeven. In het verleden zijn onbeveiligde databases vaker het doelwit van aanvallers geworden die de inhoud van de databases verzamelen en losgeld voor het ontsleutelen eisen. In dit geval vond Diachenko wel instructies over het te betalen losgeld, maar was de versleuteling van de data mislukt. Onlangs ontdekte de onderzoeker ook een 200 gigabyte grote marketingdatabase van softwarebedrijf Veeam.

Reacties (3)
18-09-2018, 12:51 door Anoniem
Bij zo'n gang van zaken zou ik als onderzoeker zoveel mogelijk informatie online gooien om het bedrijf te shamen. Wel het probleem oplossen, maar niet eens de moeite nemen om te reageren op de email. Gemakkelijk, en arrogant.
18-09-2018, 12:52 door Anoniem
Wanneer gaan overheden nou actief gebruik maken van Shodan en zo bedrijven aanspreken op hun gedrag wanneer hun servers slecht beveiligd zijn en straffen wanneer deze gehacked zijn want veel bedrijven nemen security niet serieus.
20-09-2018, 14:08 door Anoniem
Wanneer gaan overheden nou actief gebruik maken van Shodan en zo bedrijven aanspreken op hun gedrag wanneer hun servers slecht beveiligd zijn en straffen wanneer deze gehacked zijn want veel bedrijven nemen security niet serieus.

Of bedrijven beveiliging serieus nemen is primair hun eigen verantwoording, *tenzij* er gegevens van derden in het spel zijn. Indien jij een bedrijf hebt, dit slecht beveiligd en gehacked wordt, is dit jouw probleem en jouw verantwoordelijkheid. De overheid speelt daarin geen enkele rol.

Indien een bedrijf dat een nieuwe uitvinding doet gehacked wordt, waarbij al hun intellectual property op straat komt te liggen, dan is dat hun eigen probleem. De enige die daarbij strafbaar is dat is de dader - niet het slachtoffer.

Moet de overheid soms ook gratis pentesten gaan uitvoeren, om willekeurige bedrijven te adviseren bij hun beveiliging ? Of is dat hun eigen verantwoordelijkheid, en moeten ze hiervoor zelf de kosten dragen ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure