Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit

Door , 25 reacties

Een database met daarin uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten is uitgelekt. De database bevat gegevens van overheidsfunctionarissen, zakenmensen en journalisten. De data wordt door een bedrijf verkocht aan marketeers.

Beveiligingsonderzoeker Troy Hunt kreeg de database met daarin 52,2GB aan gegevens in handen. Hij vermoedt dat de gegevens zijn buitgemaakt van een onbeveiligde MongoDB-server. In de database staan 33,7 miljoen contacten tot in detail beschreven. Zo toont Hunt de gegevens van ZDNet-journalist Zack Whittaker, met wie hij samenwerkte om de herkomst van de database te achterhalen.

Naast Whittakers e-mailadres, telefoonnummers en functie staan er gegevens over het bedrijf waar hij werkt, het moederbedrijf daarvan, wat de omzet daarvan is en hoeveel werknemers het bedrijf heeft. Het gaat veelal om informatie die publiek beschikbaar is en de data zou ook legitiem zijn verzameld. Hunt merkt op dat de data netjes is geordend en is nagekeken op juistheid.

De ZDNet-journalist ontdekte dat de database afkomstig is van NetProspex, een dienst voor marketeers die eigendom is van het Amerikaanse bedrijf Dun & Bradstreet. Het bedrijf verkoopt contactgegevens uit de database aan bedrijven. Uit een brochure uit 2015 blijkt dat het bedrijf tot 200.000 dollar vraagt voor toegang tot een half miljoen contacten.

D&B, dat eigenaar is van de database, zegt een onderzoek in te stellen naar het uitlekken van de data. Omdat het bedrijf de gegevens verkoopt aan andere partijen, is het moeilijk om te achterhalen waar het lek heeft plaatsgevonden. Kopers mogen in sommige gevallen de data ook weer zelf doorverkopen.

In de database staan alleen contacten uit de Verenigde Staten. De contacten zijn gerangschikt per bedrijf en per afdeling en functie. Zo zijn er meer dan honderdduizend contacten aanwezig van het Amerikaanse Department of Defense, met tienduizend verschillende functies, variërend van 'Soldier' tot 'Ammunition Specialist' en 'Intelligence Analyst'. Van bedrijven als AT&T, Boeing, Dell, FedEx, IBM en Xerox staan er gegevens van tienduizenden werknemers in de database.

Troy Hunt heeft de gegevens toegevoegd aan zijn HaveIBeenPwned-website, zodat mensen van wie de gegevens in de database zitten, een melding kunnen krijgen. Hoewel het volgens D&B gaat om data die op legale wijze is verkregen, vormt het uitlekken van de database volgens Hunt risico's. De gegevens van hooggeplaatste personen binnen bedrijven zouden bijvoorbeeld gebruikt kunnen worden voor whaling.

Julian Huijbregts

Nieuwsredacteur

Reacties (25)

Wijzig sortering
Dan is het toch geen lekken?
Ik sluit me hierbij aan. Dit is misschien wel gevoelig informatie voor NetProspex, hun product is in 1 keer niets meer waard, maar het is niet alsof hier nu iets "geheims" boven water komt.
Lekken op dezelfde manier als films soms voor de bioscoop release al naar internet 'lekken'.
Daarom dat bedrijven die aan datamining doen of gegevens verzamelen met het oog op winst te maken, zeer zwaar gecontroleerd zouden moeten worden op beveiliging. Is de beveiliging niet adequaat, zou men het bedrijf direct moeten sluiten.

Het gaat hoog tijd worden dat zulke bedrijven niet enkel aan winst moeten denken, maar ook aan beveiliging. Kunnen of wilen ze dat niet, dan moeten die bedrijven ophouden te bestaan.
Ze stoppen publieke informatie in een handige database. Een zelfde beveiliging als internet lijkt me op z'n plaats.
52,2 GB x 1.024 = 53.450 MB
53.450 MB / 33.700.000 contacten = 0,0015 MB per contact.
Oftewel 0,0015 x 1.024 = 1,62 kilobyte per contact.

Als het hier gaat om gedetailleerde contactgegevens dan is 1,6 kilobyte wel erg weinig toch? Wellicht dat er enige optimalisatie in zit maar ik kijk er wel vreemd tegen aan.

Kan iemand mij vertellen wat ik hier verkeerd doe?
In pure tekst kan 1,6 kb heel veel data zijn.
Bovendien is het het gemiddelde ;) het kan dus zijn dat van sommige contacten veel meer data is.
1024 gebruiken ipv 1000. Want de echte GB (niet GibiByte (1 GiB = 1024 MiB = 1024 KiB = 1024 B )) is 1000 MB, Microsoft heeft het in der tijd verkeerd gebruikt.

[Reactie gewijzigd door ce_dev op 15 maart 2017 17:00]

Kan ook nog zo zijn dat de data gecompressed is. Tekst is vrij goed klein te maken. Het bevat veel redundante informatie.
Een letter kost maar een byte (of 2 als het unicode is).
Grofweg 700 tot 1500 letters is meer dan genoeg voor naam, adres, telefoon, email, geboortedatum, en dat allemaal een keer of 5 ;)
Deze database is dus gewoon te krijgen uit publiekelijke beschikbare informatie en de database was ook gewoon te koop.
Vind het eerder appart dat dit niet eerder te downloaden was net als films en muziek, altijd wel iemand die het upload.
Whaling [Wikipedia]: "... Whaling phishermen have also forged official-looking FBI subpoena emails, and claimed that the manager needs to click a link and install special software to view the subpoena. ..."

Nee tuurlijk: O-)

Dear executive,
This (authentic looking email) message from FBI / Donald Trump / your bank / whatever ...
Click this link to install special software for viewing additional information.

[Reactie gewijzigd door twilex op 15 maart 2017 18:36]

Altijd aardig, dergelijke lekken. In hoeverre was dit te voorkomen?
Heel simpel, authenticatie voor je MongoDB instellen.
Als MongoDB nou eens secure-by-default was..
Tja, dat is de discussie die je altijd krijgt bij dit soort dingen: aan de ene kant mag je van professionals die een bepaald stuk software toepassen voor bedrijfssoftware verwachten dat ze weten waar ze mee bezig zijn, ook op het gebied van beveiliging, en aan de andere kant zou het goed zijn als de makers van dat stuk software je helpen bij het voorkomen van dit soort problemen.

Wie is er schuldig en kan eventueel juridisch verantwoordelijk worden gehouden voor zo'n lek?
Ik begrijp de discussie eigenlijk niet.. ook bij MongoDB is secure-by-default toch zo eenvoudig te implementeren?
Als professional moet je juist inzien dat fouten maken menselijk is. Als je daar geen rekening mee houdt ben je geen goede professional. :p
Ik ben het zeker met je eens dat MongoDB gewoon secure-by-default zou moeten zijn. Maar het is redelijk algemeen bekend dat dat momenteel niet zo is en als ontwikkelaar heb je gewoon de verantwoordelijkheid de voor- en nadelen, functies en problemen te kennen van zaken die je implementeert.
Maar het is redelijk algemeen bekend
Niet iedereen kan van alles op de hoogte zijn.. blijkt ook overal uit, toch?
"Het is bekend" is gewoon niet goed genoeg en niet veilig genoeg.
Altijd aardig, dergelijke lekken. In hoeverre was dit te voorkomen?
een onbeveiligde MongoDB-server
Wel.. zo te lezen was het niet lastig geweest om dit te voorkomen.
Moeilijk te zeggen natuurlijk als ze nog niet eens precies weten hoe het 'op straat' is gekomen.
Alhoewel de beste manier om dit te voorkomen natuurlijk is om de data niet eens te verzamelen en zoon database niet eens te maken :)

Verder maakt dit verhaal ook maar weer eens duidelijk dat persoonlijke informatie eigenlijk gewoon al lang op straat /het internet te vinden is en er ook al verschillende mensen / bedrijven daar geld mee aan het verdienen zijn zonder ons weten. En dit los van alle informatie die we al vrijelijk aan bijvoorbeeld Google/Facebook/etc. GEVEN.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*