Leverancier van datamanagementoplossingen Veeam is in verlegenheid gebracht door onthullingen over een slecht beveiligde interne database. Een it-beveiligingsexpert stuitte kortgeleden op een server van Veeam met daarop een MongoDB-database van ruim 200 gigabytes, zo’n 444 miljoen e-mailadressen en andere persoonsgegevens. UPDATE (14-9-2018) . Na eigen onderzoek van Veaam blijkt het om 4,5 miljoen adressen gaat (zie kader).
De database was niet beveiligd met een wachtwoord en dus toegankelijk voor iedereen die de exacte locatie kende. It-beveiligingsexpert Bob Diachenko kwam 5 september op het spoor van de database, doordat deze kort daarvoor was geïndexeerd door IoT-zoekmachine Shodan. Dat schrijft hij op LinkedIn.
Voor marketing
Behalve de e-mailadressen ontdekte de expert ook talloze klantnamen, informatie over bedrijfsgrootte en diverse IP-adressen in de databank. De records dateerden uit de periode tussen 2013 en 2017. Veeam gebruikte de informatie in de database voor marketingdoeleinden.
Pas vier dagen nadat Diachenko Veeam van de kwetsbaarheid op de hoogte had gebracht, werd de databaseserver offline gehaald. Dat gebeurde enkele uren nadat ook een redacteur van Techcrunch het bedrijf had geïnformeerd over het euvel.
MongoDB
MongoDB is een open source document-geöriënteerde database. Het is niet de eerste keer dat Diachenko kwetsbaarheden in zo’n database blootlegt, schrijft hij. Het beveiligingsprobleem is al bekend sinds maart 2013. Ondanks alle media-aandacht, een beveiligingsupdate van het systeem en nieuwe beveiligingsvoorschriften staan volgens de expert nog steeds veel onbeveiligde MongoDB-databases online.
Veeam levert producten voor back-up, dataherstel en databeheer voor virtuele, fysieke en multicloudomgevingen.
Geen 444 maar 4,5 miljoen adressen
Het aantal e-mailadressen die via een onbeveiligde database van Veeam vrij toegankelijk waren, blijkt minder groot dan eerder is gemeld. Intern onderzoek van het bedrijf wijst uit dat het gaat om ‘slechts’ 4,5 miljoen e-mailadressen en niet ruim 440 miljoen. Dat meldt Veeam-ceo Peter McKay.