De Amerikaanse liefdadigheidsinstelling Kars4Kids heeft via een onbeveiligde database die voor iedereen op internet toegankelijk was de persoonlijke gegevens van ruim 21.000 donateurs gelekt, alsmede interne wachtwoorden waarmee toegang tot nog meer gevoelige data kon worden verkregen.

Kars4Kids is een organisatie die in Canada en de Verenigde Staten actief is en waar mensen hun auto's, boten en vastgoed aan kunnen doneren. Op 3 november ontdekte onderzoeker Bob Diachenko een publiek toegankelijk MongoDB-database met de e-mails en persoonlijke data van meer dan 21.000 donateurs. Ook bevatte de database inloggegevens van een "super administrator" en interne accounts. Met deze gegevens was het mogelijk geweest om op het Kars4Kids-dashboard in te loggen en zo toegang te krijgen tot adresgegevens, telefoonnummers en vakantiebonnen die aan donateurs worden gegeven.

MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. Geregeld vinden onderzoekers onbeveiligde MongoDB-databases met gevoelige data. Ook criminelen maken hier misbruik van. Vorig jaar waarschuwde het bedrijf achter de databasesoftware meerdere keren voor ransomware-aanvallen waarbij criminelen databases van websites en organisaties voor losgeld gijzelen of de database verwijderen en doen alsof ze de die hebben gegijzeld.

Diachenko ontdekte ook bij Kars4Kids een ransomware-melding die door criminelen was achtergelaten. Het is echter onbekend of de database van de liefdadigheidsinstelling is gestolen en hoe lang die al toegankelijk was. Diachenko stuurde op 3 november een e-mail naar de organisatie. Pas nadat hij Kars4Kids had gebeld werd het probleem op 5 november verholpen. De organisatie stelt dat het inmiddels alle donateurs en de FBI heeft ingelicht.