image

Dataverzamelaar Adapt lekt gegevens 9,3 miljoen mensen

vrijdag 23 november 2018, 10:05 door Redactie, 7 reacties

Het dataverzamelingsbedrijf Adapt heeft door een onbeveiligde database de gegevens van ruim 9,3 miljoen mensen gelekt. Het gaat onder andere om namen, e-mailadressen en informatie over de werkgever, zoals bedrijfsnaam en functie.

Adapt biedt naar eigen zeggen "de meest flexibele bedrijfscontactendatabase" ter wereld aan. Beveiligingsonderzoeker Bob Diachenko ontdekte op 5 november een 123 gigabyte grote MongoDB-database van het bedrijf die voor iedereen op internet toegankelijk was. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. Geregeld vinden onderzoekers onbeveiligde MongoDB-databases met gevoelige data.

Hoewel in dit geval de data mogelijk niet gevoelig is, is het bijzonder om de database zonder enige vorm van authenticatie op internet aan te treffen, stelt Diachenko. De onderzoeker weet niet of de database opzettelijk voor iedereen toegankelijk was of dat het om een misconfiguratie gaat. Diachenko waarschuwde Adapt voor het datalek, maar kreeg geen reactie.

Diachenko heeft de data nu gedeeld met Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de 9,3 miljoen e-mailadressen was 74 procent al via een ander datalek bij Have I Been Pwned bekend. Het datalek bij Adapt is één van de grotere die de afgelopen maanden aan de zoekmachine is toegevoegd.

Reacties (7)
23-11-2018, 10:42 door Anoniem
"Bijzonder" in de zin dat de standaardinstallatie geen authenticatie eist, dus als je dat zonder meer op een publiekelijk toegankelijke server installeert, precies dit het resultaat is?
23-11-2018, 10:52 door bollie
En daar gaan we weer.......het zal alleen maar méér worden..
23-11-2018, 11:23 door -karma4 - Bijgewerkt: 23-11-2018, 11:38
Door Anoniem: "Bijzonder" in de zin dat de standaardinstallatie geen authenticatie eist, dus als je dat zonder meer op een publiekelijk toegankelijke server installeert, precies dit het resultaat is?

Je mag van een bedrijf als Adapt verwachten dat ze niet als een stelletje apen eventjes een standaardinstallatie doen op een publiek toegankelijke server en er dan al hun al dan niet gevoelige data in zetten. Dat riekt naar strafbare nalatigheid!
23-11-2018, 11:51 door karma4
Door Team FOSS:
Je mag van een bedrijf als Adapt verwachten dat ze niet als een stelletje apen eventjes een standaardinstallatie doen op een publiek toegankelijke server en er dan al hun al dan niet gevoelige data in zetten. Dat riekt naar strafbare nalatigheid!
Iedereen kon de code en de installatie zien. Geheel OSS dus waar heb je het over met je nalatigheid. Het moet gratis en voor niets. Alleen als je met een GDPR controle instantie wat "papieren tijgers" de boel kan laten nalopen en keuren heb je iets waar je met nalatigheid kan komen. Maar ja je bent mordicus tegen een goed gecontroleerd beheer.
https://www.security.nl/posting/587922/ISO+standaarden+voor+management

In het redactie artikel staat al de vraag of het over gevoelige data gaat.
https://www.adapt.io/about/our-data/ Als de contacten van de bedrijven waar de bedrijven zelf mee adverteren dan wel die uit openbare bronnen afkomstig zijn dan is het gewoon openbare data. Het is een VS bedrijf niet gericht op de eu, een privacy verklaring ontbreekt, die hebben ze daar ook niet nodig.
23-11-2018, 13:17 door -karma4 - Bijgewerkt: 23-11-2018, 13:34
Door karma4:
Door Team FOSS:
Je mag van een bedrijf als Adapt verwachten dat ze niet als een stelletje apen eventjes een standaardinstallatie doen op een publiek toegankelijke server en er dan al hun al dan niet gevoelige data in zetten. Dat riekt naar strafbare nalatigheid!
Iedereen kon de code en de installatie zien. Geheel OSS dus waar heb je het over met je nalatigheid. Het moet gratis en voor niets.

Wat is dat nou weer voor rare gedachtenkronkel? Het is open source en iedereen kan inderdaad de code zien. Irrelevant. De installatie was niet publiek en kon door niemand worden gezien. Irrelevant.

Een publieke toegang tot de database die is geïnstalleerd is heel iets anders dan de installatie 'kunnen zien' (waarbij je de bronbestanden van de installatie zou kunnen bekijken). Dit soort verkeerde redeneringen kenmerkt de papieren tijger.
24-11-2018, 13:49 door karma4
Door Team FOSS - busy:
Wat is dat nou weer voor rare gedachtenkronkel? Het is open source en iedereen kan inderdaad de code zien. Irrelevant. De installatie was niet publiek en kon door niemand worden gezien. Irrelevant.

Een publieke toegang tot de database die is geïnstalleerd is heel iets anders dan de installatie 'kunnen zien' (waarbij je de
bronbestanden van de installatie zou kunnen bekijken). Dit soort verkeerde redeneringen kenmerkt de papieren tijger.

Het kenmerkt de wereldvreemde nerd dat hij mist hoe het in de werkelijkheid gaat.
Dat de installaties te lastig voor de zo goedkoop mogelijk inhuurkracht is is nu net waar het mis gaat.
gratis en voor niets de support krijg je van niet betaalde vrijwillers, wat kan er nu mis gaan. Als je de installatie niet zou kunnen zien dan kom jet met closed software en meer onzin. Ga nu eens kijken wat er echt gebeurt
26-11-2018, 00:00 door Anoniem
@karma4 & Team FOSS,

Maar hoe of je dit ook wendt of keert, zo krijgen we de boel natuurlijk nooit ene streep veiliger. Degenen, die erover gaan hebben geen enkele relevante kennis en dat hoeft kennelijk ook niet van toezichthouders en ook van aandeelhouders.

Degenen, die het in moeten kloppen hebben ook niet voldoende kennis of support, want vaak als non-competent ingehuurd. Als de beslissingnemer/manager 119 x meer verdient als de gemiddelde eindverantwoordelijke IT-inklopper..op wat voor een dystopische wereld stevenen we dan af? Wie gaat daar wat aan doen eer de wal het schip keert?

Niemand benoemt die zaak zo of wil dit zo benoemen. Het blijft buiten zicht, we zien alleen de puinhoop als eindresultaat. Ik stuur een pakje op en dat gebeurt via twee diensten. Als het fout gaat, wijzen die twee (bij voorbeeld post en koerier) naar elkaar en kan intussen het pakje gaan zwerven of erger nog, komt nooit meer aan. Denk je dat dit met pakkettten op de digitale infrastructuur niet kan gebeuren? Komt er een cybercrimineel bij dan kun je helemaal je lol op. Waarom laten we dit maar dooretteren, omdat Amerika het Internet bezit en er een vreemde bankster-logica op na houden?

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.