Uma empresa que construiu a sua reputação em serviços globais de gestão de dados parece ter deixado desprotegido um tesouro aos olhos do público.
Um banco de dados com mais de 200 GB de dados foi encontrado num servidor sem proteção.
O investigador de segurança Bob Diachenko descobriu o tesouro na infraestrutura da Amazon no dia 5 de setembro. Viu o problema corrigido quatro dias depois, uma vez que a empresa seguiu as suas notificações e tomou medidas para proteger seu servidor MongoDB.
O tempo de exposição dos registos é incerto, mas de acordo com Diachenko, o endereço IP do servidor foi indexado pelo Shodan em 31 de agosto.
A violação consistia em informações pessoais do cliente, como nome e sobrenome, endereço de e-mail e país de residência.
Diachenko diz que detalhes adicionais disponíveis no servidor incluem atributos de marketing, como o tipo de cliente e tamanho da organização (empresa, comercial, SMB), endereços IP, URLs referenciadores ou useragent do web-browser do utilizador.
A Veeam conta com cerca de 307 mil clientes. Entre eles estão a Norwegian Cruise Line, o Aeroporto de Gatwick, a Scania, instituições de saúde e educação (várias universidades e distritos escolares).
A Veeam está atualmente a comunicar a violaão aos seus clientes.
We recently became aware that one of our marketing databases, which was not easily discoverable, may have been accessible to unauthorized third parties for a limited time due to human error. As soon as we validated the issue, we quickly secured that database. Once secured, we launched a full investigation into the scope of the incident, and took corrective measures to reduce the risk of future such incidents.
Veeam takes the privacy and security of your personal information seriously. As soon we validated the incident, we moved quickly to ensure the database was properly secured and to limit any further exposure. We are now actively investigating the matter to ensure that it does not happen again. As a company, we value honesty and openness, which is why I wanted to personally assure you that steps have been taken to prevent a similar issue from occurring in the future. We sincerely apologize for any stress or inconvenience this issue may have caused for you.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.