image

Kredietverstrekkers lekken 425GB aan data via open database

dinsdag 17 maart 2020, 14:59 door Redactie, 2 reacties

Twee Amerikaanse kredietverstrekkers hebben via een database die voor iedereen op internet toegankelijk was 425 gigabyte aan vertrouwelijke data gelekt. Het gaat onder andere om meer dan een half miljoen gevoelige juridische en financiële documenten, zoals bankafschriften, kredietoverzichten, contracten, kopieën van rijbewijzen, belastingpapieren, bankgegevens, aankoopbewijzen, afschriften van creditcards en andere informatie.

De database was van de bedrijven Advantage Capital Funding en Argus Capital Funding, die kredieten en kortlopende leningen aan het mkb verstrekken. Ook waren de bedrijven betrokken bij de ontwikkeling van een app genaamd MCA Wizard. De gegevens van beide bedrijven werden in een onbeveiligde Amazon S3-bucket aangetroffen. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn.

In dit geval waren de instellingen aangepast waardoor de bucket wel voor iedereen benaderbaar was. Nadat onderzoekers van vpnMentor de S3-bucket vonden hadden ze in eerste instantie geen idee wie de eigenaar was. Uiteindelijk kwamen ze uit bij Advantage en Argus. Beide bedrijven werden op 30 december gewaarschuwd, maar gaven geen reactie. Daarop werd Amazon zelf op 7 januari ingelicht, waarna de S3-bucket twee dagen later was beveiligd.

Reacties (2)
17-03-2020, 16:08 door Anoniem
Les: Je hoort hier vaak bij tegenwerpingen over datalekken en misbruik dat dat in de analoge wereld ook kan. Dat is correct, maar op deze schaal...

Twee Amerikaanse kredietverstrekkers hebben via een database die voor iedereen op internet toegankelijk was 425 gigabyte aan vertrouwelijke data gelekt. Het gaat onder andere om meer dan een half miljoen gevoelige juridische en financiële documenten, zoals bankafschriften, kredietoverzichten, contracten, kopieën van rijbewijzen, belastingpapieren, bankgegevens, aankoopbewijzen, afschriften van creditcards en andere informatie.

...kan het in de analoge wereld niet. Dat is niet per se een reden om digitalisering te stoppen, maar we moeten wel met heel andere ogen naar gegevensbescherming kijken. Dat begint o.a. met de verschillen zien.
19-03-2020, 20:52 door ph-cofi
...zo onderhand wordt het tijd voor een rechtzaak tegen Amazon, die klanten in staat stelt om bucket beveiligingen uit te zetten en niet preventief notificaties stuurt naar de eigenaren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.