Dow Jones lekt data miljoenen gebruikers door foute AWS-configuratie
Aandelenindex Dow Jones heeft de gegevens van een paar miljoen gebruikers per ongeluk deels openbaar bewaard. Namen, adressen en gedeeltelijke kredietkaartnummers waren zomaar te downloaden.
Het gaat om een van de meest banale beveiligingsfouten die je kan maken: Dow Jones bewaart een aantal databases in een Amazon Web Services S3 bucket, maar die stond zo geconfigureerd dat eender welke AWS-gebruiker de data kon downloaden als hij of zij de juiste link had. Dat wil zeggen dat ongeveer een miljoen mensen met zo’n account (die gratis aan te maken is), de data konden downloaden.
Het lek werd ontdekt op 30 mei door Chris Vickery van beveiligingsbedrijf UpGuard. Hij kon data downloaden en lichtte nadien Dow Jones in alvorens over het probleem te publiceren.
2 tot 4 miljoen gebruikers
Volgens Dow Jones gaat het om gegevens van minstens 2,2 miljoen klanten. UpGuard, dat de gegevens heeft ingekeken, denkt echter dat het rond om en bij de vier miljoen mogelijk getroffen gegevens gaat. Of er effectief kwaadwilligen het lek al hebben ontdekt en misbruikt is niet geweten.
Onder de data zitten ook abonnees van de Wall Street Journal, maar ook zo’n 1,6 miljoen datapunten in een de Dow Jones Risk and Compliance database. Dat is een abonneedienst rond een corporate intelligence programma die financiële instellingen gebruiken voor compliance rond anti-witwaspraktijken.
Gebrekkige basis
Het incident is opmerkelijk omdat het enerzijds over gevoelige financieel-gerelateerde data gaat. Anderzijds gaat het niet noodzakelijk om een lek in de technologie van Amazon, wel om een foute configuratie. Een beetje zoals de deur van je huis sluiten, maar ze niet op slot doen
John Gunn, cmo bij securitybedrijf Vasco, wijst er op dat een degelijke basis voor security cruciaal is. “We praten in de security-industrie vaak over gesofisticeerde aanvallen en hoe we ons kunnen verdedigen. Maar in contrast daarmee staat dat het vaak gaat om een gebrek aan basis securitypraktijken, zoals een goede configuratie, goed beheer over wie toegang heeft, multi factor authentication en veiligheidstesten uitvoeren, het grootste risico vormen.”
Fout opgemerkt of meer nieuws? Meld het hier