Een slecht beveiligde server van een marketingbedrijf gaf toegang tot vier MongoDB-databases met daarin twee miljard gegevensrecords, waaronder e-mailadressen, woonplaatsen en geboortedata.
196 GB aan data verspreid over vier databases was toegankelijk voor iedereen via het publieke internet. In totaal stonden er meer dan twee miljard records in de etalage. De ontdekking van het lek staat op naam van beveiligingsbedrijf Security Discovery dat de achterpoort naar een eerste database ontdekte. Een ander securitybedrijf, Dynarisk, ontdekte vervolgens nog drie andere onbeveiligde databases op dezelfde server.
(Geen) unieke data
De server behoort toe aan Verifications.io: een bedrijf uit Estland dat mailadressen verifieerd voor marketingspecialisten. Zo weten zijn of een mailadres actueel is voor ze contact opnemen. De website van het bedrijf is momenteel niet meer toegankelijk.
In een eerdere reactie liet Verifications.io weten dat de database in kwestie enkele publiek beschikbare informatie bevat, maar de beveiligingsonderzoekers betwisten dat. Een vergelijking met de website haveibeenpwnd.com, waar je kan nakijken of je mailadres ooit al deel is geweest van een lek, toont in ieder geval aan dat minstens een derde van de mailadressen uit de database nog nooit eerder publiek beschikbaar was gekomen.
Persoonsgegevens
De databases zelf bevatten geen heel gevoelige informatie zoals kredietkaartgegevens. Ook woonplaatsgegevens blijven beperkt tot een zipcode. Toch vallen dergelijke data onder persoonsgegevens, en die worden beschermd door de GDPR.
De data waren toegankelijk door een slecht geconfigureerde server. Recht uit de doos zijn MongoDB-databases toegankelijk zonder authenticatie. Het is aan de gebruiker om de database te beveiligen, maar dat had Verifications.io niet gedaan. Een combinatie van die twee factoren maakte dat de gegevens voor iedereen toegankelijk waren. Of de data effectief door hackers werd gelokaliseerd en misbruikt, is op dit moment niet duidelijk.