De internationale duiktrainingsorganisatie PADI heeft via een onbeveiligde database miljoenen records van in de VS geregistreerde duikers gelekt. Het gaat om volledige naam, telefoonnummers, e-mailadressen, postadressen en geboortedatum. De meer dan 2,3 miljoen records waren opgeslagen in een onbeveiligde Elasticsearch-database die voor iedereen op internet zonder wachtwoord toegankelijk was, zo meldt beveiligingsonderzoeker Bob Diachenko.
Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. De database werd op 23 april door zoekmachine Shodan geïndexeerd. Op 6 mei ontdekte Diachenko de database via Shodan. Nadat de onderzoeker had bevestigd dat het om een database van PADI ging waarschuwde hij de organisatie. De database werd vervolgens offline gehaald, maar Diachenko kreeg hiervan geen bericht of andere reactie.
De onderzoeker stelt dat kwaadwillenden die de data via Shodan wilden vinden en stelen hier genoeg tijd voor hebben gehad. "Hoewel het niet om betaal- of gevoelige gegevens ging, is een dergelijke gestructureerde en gerichte verzameling van data een risico voor iedereen wiens data was blootgesteld. Een identiteitsdief of phishingactor zou niet voor een betere verzameling kunnen vragen", aldus Diachenko.
Deze posting is gelocked. Reageren is niet meer mogelijk.