Phishing kent iedereen wel als een manier van criminelen om de inloggegevens van bijvoorbeeld een bancaire toepassing of een mailbox te pakken te krijgen. Maar het kan helaas ook anders, omdat bedrijven het criminelen te makkelijk maken. Beveiligingsspecialist Digital Shadows ontdekte dat bij sommige bedrijven alle mailboxen via het internet benaderbaar waren. Meer dan 12 miljoen archiefbestanden met e-mailberichten (.eml, .msg, .pst, .ost, .mbox) waren publiekelijk toegankelijk als gevolg van verkeerd geconfigureerde file sharing services zoals rsync, FTP, SMB, S3 bucket en NAS. Met de onjuiste ops...

Phishing kent iedereen wel als een manier van criminelen om de inloggegevens van bijvoorbeeld een bancaire toepassing of een mailbox te pakken te krijgen. Maar het kan helaas ook anders, omdat bedrijven het criminelen te makkelijk maken. Beveiligingsspecialist Digital Shadows ontdekte dat bij sommige bedrijven alle mailboxen via het internet benaderbaar waren. Meer dan 12 miljoen archiefbestanden met e-mailberichten (.eml, .msg, .pst, .ost, .mbox) waren publiekelijk toegankelijk als gevolg van verkeerd geconfigureerde file sharing services zoals rsync, FTP, SMB, S3 bucket en NAS. Met de onjuiste opslag van deze e-mailarchieven stelden werknemers gevoelige, persoonlijke en financiële informatie bloot. Digital Shadows vond in totaal 27.000 facturen, 7.000 inkooporders en 21.000 betalingsbestanden die publiekelijk toegankelijk waren.Ook in BelgiëIn België vond het bedrijf 53.262 zakelijke e-mailarchieven terug. Het gaat om bestanden die toebehoren aan onder meer financiële diensten, telco- en retailbedrijven of technologiespelers, maar ook om mailboxen van politieke instellingen en vakbonden. "In die bestanden vinden we onder meer facturen terug, maar ook heel wat Dimona-documenten", vertelt Rafael Amado, Strategy and Research Analist bij Digital Shadows, aan Data News. De Dimona (Déclaration Immédiate/Onmiddellijke Aangifte) is het elektronische bericht waarmee de werkgever iedere indiensttreding en uitdiensttreding van een werknemer aangeeft bij de RSZ, een verplichting voor alle werkgevers.Rafael Amado benadrukt dat Digital Shadows in het onderzoek vooral focust op de data van de eigen klanten. "Dikwijls weten zij niet hoeveel risico ze lopen en wij helpen om hen dat duidelijk te maken. Maar het is wel zo dat we tijdens het onderzoek ook data van andere bedrijven aantroffen", zegt Amado. De betrokken klanten werden door het bedrijf wel op de hoogte gesteld. Alle niet-klanten op de hoogte stellen bleek onmogelijk. "Dikwijls delen we het ontdekken van gevoelige data toch ook aan die bedrijven mee. In veel gevallen horen we daar trouwens niets meer van", aldus nog Rafael Amado.