Securitybedrijf Carbon Black ontkent het rapport van een ander securitybedrijf dat er een lek in de beveiligingssoftware zit waardoor bestanden van klanten naar de cloud worden geupload en daar voor allerlei andere organisaties, overheidsdiensten en andere partijen toegankelijk is. Securitybedrijf DirectDefense publiceerde het rapport over een kwetsbaarheid in Cb Response, een anti-malwareproduct van Carbon Black.

Volgens DirectDefense heeft het encryptiesleutels van clouddiensten zoals Amazon, Google en Azure, app-sleutels, interne gebruikersnamen, wachtwoorden en netwerkgegevens, klantgegevens en handelsgeheimen van verschillende Fortune 1000-bedrijven gevonden die via de beveiligingssoftware van Carbon Black zouden zijn gelekt. Carbon Black stelt dat het rapport incorrect is.

De beveiligingssoftware die het aanbiedt heeft een optie om onbekende of verdachte bestanden naar cloud-gebaseerde 'multi-scanners' te uploaden. Het gaat dan om diensten zoals VirusTotal die geuploade bestanden met de engines van tientallen anti-virusbedrijven scannen. Geuploade bestanden of de metadata of hashes daarvan, zijn vervolgens toegankelijk voor derden, zoals onderzoekers.

De optie staat echter standaard uitgeschakeld. Er is dan ook geen sprake van een 'architecturale kwetsbaarheid', zo laat Carbon Black weten. Als gebruikers het wel inschakelen verschijnt er een melding waarin voor de risico's wordt gewaarschuwd. In het geval er via de optie toch gevoelige gegevens zijn geupload wil het securitybedrijf aan Google vragen, dat de eigenaar van VirusTotal is, om die te verwijderen. Verder stelt Carbon Black dat het niet voor publicatie van het rapport door DirectDefense is benaderd om de bevindingen te verifiëren.