Onlangs werd ontdekt dat Sennheiser, een Duitse fabrikant van high-end audioapparatuur, jarenlang een onveilige AWS-server op het internet had laten drijven. De server bevatte tientallen gigabytes aan informatie over meer dan 28.000 Sennheiser-clients.
Een nieuw rapport van vpnMentor, dat de onveilige gegevens ontdekte, beschrijft hoe de server zich bevond. Onderzoekers zeggen dat Sennheiser een Amazon Web Service (AWS) S3-bucket gebruikte om grote bestanden met gegevens op te slaan die het van klanten had verzameld.
Deze repositories zijn blijkbaar een populaire keuze voor bedrijven om grote gegevensbestanden op te slaan. Maar het is aan individuele bedrijven om beveiligingsinstellingen voor elk afzonderlijk segment te definiëren, iets wat vpnMentor zegt dat Sennheiser in dit geval niet zou kunnen.
Als gevolg hiervan werd meer dan 55 GB aan gegevens van meer dan 28.000 mensen op internet opengelaten zodat iedereen er toegang toe had. Blijkbaar was de kluis sinds 2018 inactief. Maar hij was nog steeds onbeschermd en bevatte allerlei gevoelige klantgegevens.
Afbeelding: vpnMentor
Onderzoekers kwamen tot de conclusie dat de gegevens die in deze repository zijn opgeslagen, afkomstig waren van individuen en bedrijven die stalen van Sennheiser-producten hadden aangevraagd. De informatie die in de repository werd gevonden, omvatte volledige namen, e-mailadressen, telefoonnummers, thuisadressen en namen van bedrijven en werknemers.
Gewapend met dat soort informatie zouden criminelen het perfecte startpunt kunnen hebben voor allerlei soorten misdaden, of het nu gaat om identiteitsdiefstal of phishing. Uiteraard was dit een enorme vergissing van Sennheiser.
Gelukkig zegt vpnMentor dat het contact heeft opgenomen met het bedrijf toen het de inbreuk in oktober ontdekte. Sennheiser heeft blijkbaar kort daarna de S3-kubus veiliggesteld. Toch is het verontrustend om dit soort berichten te horen over de gegevens van mensen die op internet rondzwerven zodat iedereen ze kan zien.
Hopelijk neemt Sennheiser deze inbreuk serieus en zullen we in de toekomst niets meer van datalekken van het bedrijf horen.
Heb je hier enig idee van? Laat het ons hieronder weten in de comments of neem de discussie mee naar onze Twitter of Facebook.
