Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit

Een database met daarin uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten is uitgelekt. De database bevat gegevens van overheidsfunctionarissen, zakenmensen en journalisten. De data wordt door een bedrijf verkocht aan marketeers.

Beveiligingsonderzoeker Troy Hunt kreeg de database met daarin 52,2GB aan gegevens in handen. Hij vermoedt dat de gegevens zijn buitgemaakt van een onbeveiligde MongoDB-server. In de database staan 33,7 miljoen contacten tot in detail beschreven. Zo toont Hunt de gegevens van ZDNet-journalist Zack Whittaker, met wie hij samenwerkte om de herkomst van de database te achterhalen.

Naast Whittakers e-mailadres, telefoonnummers en functie staan er gegevens over het bedrijf waar hij werkt, het moederbedrijf daarvan, wat de omzet daarvan is en hoeveel werknemers het bedrijf heeft. Het gaat veelal om informatie die publiek beschikbaar is en de data zou ook legitiem zijn verzameld. Hunt merkt op dat de data netjes is geordend en is nagekeken op juistheid.

De ZDNet-journalist ontdekte dat de database afkomstig is van NetProspex, een dienst voor marketeers die eigendom is van het Amerikaanse bedrijf Dun & Bradstreet. Het bedrijf verkoopt contactgegevens uit de database aan bedrijven. Uit een brochure uit 2015 blijkt dat het bedrijf tot 200.000 dollar vraagt voor toegang tot een half miljoen contacten.

D&B, dat eigenaar is van de database, zegt een onderzoek in te stellen naar het uitlekken van de data. Omdat het bedrijf de gegevens verkoopt aan andere partijen, is het moeilijk om te achterhalen waar het lek heeft plaatsgevonden. Kopers mogen in sommige gevallen de data ook weer zelf doorverkopen.

In de database staan alleen contacten uit de Verenigde Staten. De contacten zijn gerangschikt per bedrijf en per afdeling en functie. Zo zijn er meer dan honderdduizend contacten aanwezig van het Amerikaanse Department of Defense, met tienduizend verschillende functies, variërend van 'Soldier' tot 'Ammunition Specialist' en 'Intelligence Analyst'. Van bedrijven als AT&T, Boeing, Dell, FedEx, IBM en Xerox staan er gegevens van tienduizenden werknemers in de database.

Troy Hunt heeft de gegevens toegevoegd aan zijn HaveIBeenPwned-website, zodat mensen van wie de gegevens in de database zitten, een melding kunnen krijgen. Hoewel het volgens D&B gaat om data die op legale wijze is verkregen, vormt het uitlekken van de database volgens Hunt risico's. De gegevens van hooggeplaatste personen binnen bedrijven zouden bijvoorbeeld gebruikt kunnen worden voor whaling.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 15-03-2017 16:1925

15-03-2017 • 16:19

25 Linkedin

Lees meer

Datalek in app gaf toegang tot plaintext-wachtwoorden Apple ID kinderen Nieuws van 21 mei 2018
Mozilla-ontwikkelaar test Firefox-notificatie bij bezoek aan site met datalek Nieuws van 23 november 2017
'Berijdersgegevens van 52 leasebedrijven waren toegankelijk via server' - update Nieuws van 7 augustus 2017
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar Nieuws van 3 augustus 2017
Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS Nieuws van 19 juni 2017
'Authenticatiedienst OneLogin bagatelliseert datalek in VS' Nieuws van 1 juni 2017
Autoriteit Persoonsgegevens krijgt meer meldingen van gemeentelijke datalekken Nieuws van 10 mei 2017
'Spammerdatabase met 1,4 miljard e-mailadressen lekt uit door fout bij back-up' Nieuws van 6 maart 2017
Door Cloudpets-speelgoed opgenomen gesprekken waren toegankelijk via internet Nieuws van 28 februari 2017
Lek in Kamernet gaf toegang tot 1,3 miljoen privéberichten Nieuws van 6 februari 2017
Nederlandse bedrijven hebben vermoedelijk 18.500 datalekken niet gemeld Nieuws van 1 februari 2017
Website LeakedSource die gekraakte wachtwoorddatabases aanbood is offline Nieuws van 27 januari 2017
'Amerikaanse beurswaakhond onderzoekt late melding datalekken door Yahoo' Nieuws van 23 januari 2017
'Gegevens van 1,5 miljoen accounts van e-sportswebsite ESEA verschijnen online' Nieuws van 9 januari 2017
Meer producten en artikelen
Netwerk en systeembeheer Datalek

Reacties (25)

-Moderatie-faq
25
22
14
1
0
4
Wijzig sortering
Stijn Weijters
15 maart 2017 16:34
Dan is het toch geen lekken?
Fliepke
@Stijn Weijters15 maart 2017 16:43
Ik sluit me hierbij aan. Dit is misschien wel gevoelig informatie voor NetProspex, hun product is in 1 keer niets meer waard, maar het is niet alsof hier nu iets "geheims" boven water komt.
zovty
@Stijn Weijters15 maart 2017 16:42
Lekken op dezelfde manier als films soms voor de bioscoop release al naar internet 'lekken'.
535502
15 maart 2017 16:36
Daarom dat bedrijven die aan datamining doen of gegevens verzamelen met het oog op winst te maken, zeer zwaar gecontroleerd zouden moeten worden op beveiliging. Is de beveiliging niet adequaat, zou men het bedrijf direct moeten sluiten.

Het gaat hoog tijd worden dat zulke bedrijven niet enkel aan winst moeten denken, maar ook aan beveiliging. Kunnen of wilen ze dat niet, dan moeten die bedrijven ophouden te bestaan.
zovty
@53550215 maart 2017 16:49
Ze stoppen publieke informatie in een handige database. Een zelfde beveiliging als internet lijkt me op z'n plaats.
PCR
15 maart 2017 16:52
52,2 GB x 1.024 = 53.450 MB
53.450 MB / 33.700.000 contacten = 0,0015 MB per contact.
Oftewel 0,0015 x 1.024 = 1,62 kilobyte per contact.

Als het hier gaat om gedetailleerde contactgegevens dan is 1,6 kilobyte wel erg weinig toch? Wellicht dat er enige optimalisatie in zit maar ik kijk er wel vreemd tegen aan.

Kan iemand mij vertellen wat ik hier verkeerd doe?
CivLord
@PCR15 maart 2017 16:59
In pure tekst kan 1,6 kb heel veel data zijn.
Ventieldopje
@CivLord15 maart 2017 17:16
Bovendien is het het gemiddelde ;) het kan dus zijn dat van sommige contacten veel meer data is.
TheRealProcyon
@PCR15 maart 2017 17:00
1024 gebruiken ipv 1000. Want de echte GB (niet GibiByte (1 GiB = 1024 MiB = 1024 KiB = 1024 B )) is 1000 MB, Microsoft heeft het in der tijd verkeerd gebruikt.

[Reactie gewijzigd door TheRealProcyon op 15 maart 2017 17:00]

koelpasta
@PCR15 maart 2017 17:21
Kan ook nog zo zijn dat de data gecompressed is. Tekst is vrij goed klein te maken. Het bevat veel redundante informatie.
the_stickie
@PCR15 maart 2017 18:10
Een letter kost maar een byte (of 2 als het unicode is).
Grofweg 700 tot 1500 letters is meer dan genoeg voor naam, adres, telefoon, email, geboortedatum, en dat allemaal een keer of 5 ;)
HADES2001
15 maart 2017 16:47
Deze database is dus gewoon te krijgen uit publiekelijke beschikbare informatie en de database was ook gewoon te koop.
Vind het eerder appart dat dit niet eerder te downloaden was net als films en muziek, altijd wel iemand die het upload.
twilex
15 maart 2017 18:13
Whaling [Wikipedia]: "... Whaling phishermen have also forged official-looking FBI subpoena emails, and claimed that the manager needs to click a link and install special software to view the subpoena. ..."

Nee tuurlijk: O-)

Dear executive,
This (authentic looking email) message from FBI / Donald Trump / your bank / whatever ...
Click this link to install special software for viewing additional information.

[Reactie gewijzigd door twilex op 15 maart 2017 18:36]

PradaBrada
15 maart 2017 16:26
Altijd aardig, dergelijke lekken. In hoeverre was dit te voorkomen?
Tk55
@PradaBrada15 maart 2017 16:33
Heel simpel, authenticatie voor je MongoDB instellen.
Olaf van der Spek
@Tk5515 maart 2017 16:38
Als MongoDB nou eens secure-by-default was..
jj71
@Olaf van der Spek15 maart 2017 16:56
Tja, dat is de discussie die je altijd krijgt bij dit soort dingen: aan de ene kant mag je van professionals die een bepaald stuk software toepassen voor bedrijfssoftware verwachten dat ze weten waar ze mee bezig zijn, ook op het gebied van beveiliging, en aan de andere kant zou het goed zijn als de makers van dat stuk software je helpen bij het voorkomen van dit soort problemen.

Wie is er schuldig en kan eventueel juridisch verantwoordelijk worden gehouden voor zo'n lek?
Olaf van der Spek
@jj7115 maart 2017 17:05
Ik begrijp de discussie eigenlijk niet.. ook bij MongoDB is secure-by-default toch zo eenvoudig te implementeren?
Als professional moet je juist inzien dat fouten maken menselijk is. Als je daar geen rekening mee houdt ben je geen goede professional. :p
Tk55
@Olaf van der Spek15 maart 2017 17:12
Ik ben het zeker met je eens dat MongoDB gewoon secure-by-default zou moeten zijn. Maar het is redelijk algemeen bekend dat dat momenteel niet zo is en als ontwikkelaar heb je gewoon de verantwoordelijkheid de voor- en nadelen, functies en problemen te kennen van zaken die je implementeert.
Olaf van der Spek
@Tk5515 maart 2017 19:37
Maar het is redelijk algemeen bekend
Niet iedereen kan van alles op de hoogte zijn.. blijkt ook overal uit, toch?
"Het is bekend" is gewoon niet goed genoeg en niet veilig genoeg.
S_Chief
@PradaBrada15 maart 2017 16:34
Altijd aardig, dergelijke lekken. In hoeverre was dit te voorkomen?
een onbeveiligde MongoDB-server
Wel.. zo te lezen was het niet lastig geweest om dit te voorkomen.
BackBones
@PradaBrada15 maart 2017 16:39
Moeilijk te zeggen natuurlijk als ze nog niet eens precies weten hoe het 'op straat' is gekomen.
Alhoewel de beste manier om dit te voorkomen natuurlijk is om de data niet eens te verzamelen en zoon database niet eens te maken :)

Verder maakt dit verhaal ook maar weer eens duidelijk dat persoonlijke informatie eigenlijk gewoon al lang op straat /het internet te vinden is en er ook al verschillende mensen / bedrijven daar geld mee aan het verdienen zijn zonder ons weten. En dit los van alle informatie die we al vrijelijk aan bijvoorbeeld Google/Facebook/etc. GEVEN.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee