Gegevens 24 miljoen Lumin PDF-gebruikers verschijnen online na datalek

De gegevens van 24,4 miljoen gebruikers van de webdienst Lumin PDF zijn online verschenen. De dienst is vooral bekend als alternatieve manier van openen van pdf-bestanden in Google Drive. In de database staan ook Google-tokens en wachtwoorden van gebruikers.

Het gaat om een zip-bestand van 2,25GB met een csv-bestand waarin gebruikers staan, meldt ZDNet. De site heeft de authenticiteit van het lek bevestigd gekregen. De hacker zegt dat hij eerder dit jaar contact heeft opgenomen met het bedrijf achter Lumin PDF om het lek te repareren, maar die zegt geen reactie te hebben gehad.

Diegene trof de MongoDB-database in april van dit jaar online aan zonder wachtwoordbeveiliging. Ransomware zou de database offline hebben gedwongen, maar de hacker heeft geen antwoord gehad van het bedrijf op zijn melding.

In de database staan naast gebruikersnamen ook veel tokens voor toegang tot een Google-account. Volgens Nitrolabs, het bedrijf achter Lumin PDF, waren die tokens op moment dat de database online verscheen niet meer geldig en konden kwaadwillenden zich dus geen toegang verschaffen tot een Google-account. Van 185.000 mensen staat er met een Bcrypt-algoritme versleuteld wachtwoord, vermoedelijk gebruikers die de losse site hebben gebruikt.

Lumin PDF is in gebruik om pdf-bestanden te openen en te bewerken, bijvoorbeeld om ze te voorzien van een handtekening. Diensten die in de gaten houden of mailadressen in een datalek zitten, zoals HaveIBeenPowned en Firefox Monitor, hebben inmiddels getroffen gebruikers een bericht gestuurd over het datalek. Het bedrijf zelf heeft gebruikers niets laten weten.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Arnoud Wokke

Redacteur

18-09-2019 • 18:04

14 Linkedin

Submitter: vaneker

Reacties (13)

Wijzig sortering
Ik ben ook gehackt helaas :(
Je bent niet gehackt, dat is het bedrijf. Jouw credentials zijn gelekt. En dat is relatief beperkt, want je gebruikt overal een uniek wachtwoord voor (toch?). ;)
Token intrekken was afaik al voldoende ;-)
Jep, las ik later ook. Hoewel dat afhangt van hoe je je account daar hebt aangemaakt (oauth, of rechtstreeks).

Aldus HIBP:
In April 2019, the PDF management service Lumin PDF suffered a data breach. The breach wasn't publicly disclosed until September when 15.5M records of user data appeared for download on a popular hacking forum. The data had been left publicly exposed in a MongoDB instance after which Lumin PDF was allegedly been "contacted multiple times, but ignored all the queries". The exposed data included names, email addresses, genders, spoken language and either a bcrypt password hash or Google auth token. The data was provided to HIBP by a source who requested it be attributed to "JimScott.Sec@protonmail.com".
Heeft al iemand ingebroken?
Humor. "Gegevens gebruikers verschijnen online na datalek"
Deze zin hoor ik de laatste 4 jaar vaker dan de 40 jaar daarvoor. ( Ja, ik ben oud |:( )

Dat biedt hoop voor de toekomst. O-)
En dan nog grote bek terwijl ze het al jaar wisten "jamaar ... :(
Volgens Nitrolabs, het bedrijf achter Lumin PDF, waren die tokens op moment dat de database online verscheen niet meer geldig

Iemand alternatief toevallig?

[Reactie gewijzigd door OxWax op 18 september 2019 18:51]

《MongoDB-database in april van dit jaar online aan zonder wachtwoordbeveiliging.》
Alweer een .heb hier geen verder commentaar meer op, was te verwachten.
Mongodb database zonder wachtwoord (en uberhaupt direct benaderbaar over het internet)
Someone will get bitchslapped.
Moraal van het verhaal: maak maar beter geen accounts aan.
Je hebt voor deze tool geen ww nodig, je geeft via een token toegang to je drive bestanden.
Maakt dit het ook maar iets beter? :Y) :Y)

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee