Het Duitse autoverhuurbedrijf Buchbinder heeft via een onbeveiligde MSSQL-database de gegevens van meer dan 3 miljoen klanten gelekt, waaronder beroemdheden, politici, ministeries en ambassades. De tien terabyte aan klantendata was wekenlang voor iedereen op internet zonder wachtwoord toegankelijk.

Tevens ontdekten de onderzoekers een database met meer dan 500.000 ongelukken die tot 2006 teruggingen. Naast informatie over de bestuurders van de huurauto's en namen, adresgegevens en kentekennummers van de andere partij in het ongeluk, werden ook gegevens van getuigen gevonden, zoals telefoonnummers. De onderzoekers zagen ook namen en contactgegevens van personen die bij het ongeluk waren overleden of gewond geraakt. Naast de tijd en locatie stond er in de gegevens ook vermeld of de politie een bloedonderzoek had gevraagd.

Alleen het invoeren van het ip-adres van de server in bijvoorbeeld Windowsverkenner was voldoende, zo meldt het Duitse magazine c't dat over het datalek bericht. De oorzaak van het datalek was een configuratiefout in de back-upserver. Poort 445 stond open, waardoor de server en back-ups via het SMB-protocol toegankelijk waren. Burchbinder is één van de grootste autoverhuurbedrijven van Duitsland met 165 locaties in Europa en 2500 medewerkers.

Alles bij de bron; Security


 


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha