Het aantal e-mailadressen die via een onbeveiligde database van Veeam vrij toegankelijk waren, blijkt minder groot dan eerder is gemeld. Intern onderzoek wijst uit dat het gaat om ‘slechts’ 4,5 miljoen e-mailadressen en niet ruim 440 miljoen. Dat meldt Veeam-ceo Peter McKay.
Het bedrijf werd eerder deze week in verlegenheid gebracht door onthullingen over een slecht beveiligde interne MongoDB-database. Een it-beveiligingsexpert stuitte begin september 2018 op een server van Veeam met daarop een database ter grootte van ruim 200 gigabytes. De database was niet beveiligd met een wachtwoord, waardoor iedereen die de exacte locatie kende toegang had.
Menselijke fout
Veeam-ceo McKay bevestigt dat de database zichtbaar en toegankelijk was voor onbevoegden. Dit was mogelijk door een menselijke fout tijdens onderhoud aan het netwerk. De databank werd gebruikt voor marketingdoeleinden en bevatte onder meer 4,5 miljoen unieke e-mailadressen. Door dubbelingen leken het er ruim 440 miljoen, schrijft de topman in een blog.
De it-beveiligingsexpert die de kwetsbaarheid blootlegde, ontdekte in de database behalve e-mailadressen ook klantnamen, informatie over bedrijfsgrootte en ip-adressen. Volgens ceo McKay gaat het in elk geval niet om gevoelige persoonlijke informatie. ‘Veeam verzamelt geen gevoelige persoonlijke informatie van zijn klanten, prospects en partners.’
Onderzoek
De Veeam-topman betreurt dat de databasekwetsbaarheid in het nieuws kwam, voordat zijn bedrijf het euvel kon onderzoeken. Volgens de expert die het lek opmerkte, haalde Veeam de databaseserver pas vier dagen na zijn melding, offline.
MongoDB is een open source document-geöriënteerde database. Het betreffende beveiligingsprobleem speelt bij veel organisaties en is al bekend sinds maart 2013, aldus de it-beveiligingsexpert.