De Amerikaanse verzekeringsmaatschappij Maryland Joint Insurance Association heeft de persoonlijke gegevens van duizenden klanten via een onbeveiligd NAS-systeem gelekt, alsmede gevoelige bedrijfsgegevens zoals wachtwoorden voor allerlei diensten.

Het datalek werd ontdekt door Chris Vickery van securitybedrijf UpGuard. Op 19 januari ontdekte Vickery het NAS-systeem na het scannen van ip-adressen op poort 873. Poort 873 is de standaardpoort voor het rsync-protocol, dat voor replicatie en back-ups wordt gebruikt. De poort stond niet open bij de verzekeraar, maar op hetzelfde ip-adres bleek wel poort 9000 open te staan, aldus Vickery tegenover Threatpost. Deze poort wordt vaak gebruikt als webinterface voor NAS-systemen.

Door via zijn browser verbinding met de poort te maken kreeg de onderzoeker toegang tot het systeem. Er was geen authenticatie vereist. Het voor iedereen toegankelijke NAS-systeem bevatte tientallen gigabytes aan data. Het ging onder andere om namen, adresgegevens, telefoonnummers, geboortedata, volledige social security nummers en verzekeringsclaims, alsmede financiële gegevens zoals bankrekeningnummers, afbeeldingen van cheques en verzekeringsnummers.

Naast de klantgegevens trof Vickery ook gevoelige bedrijfsgegevens aan, waaronder wachtwoorden voor remote desktops, e-mailaccounts en ISO ClaimSearch. Dit is een verzekeringsdatabase van een derde partij die tientallen miljoenen rapporten over verzekeringsclaims bevat. Na te zijn ingelicht heeft de verzekeraar maatregelen genomen. Hoe het kon dat de poort van het NAS-systeem open stond laat het bedrijf niet weten, maar Vickery spreekt van een misconfiguratie.