De Spaanse fitnessketen VivaGym heeft via een onbeveiligde MongoDB-database de gegevens van meer dan 6600 sollicitanten gelekt. Het ging om namen, e-mailadressen, gebruikersnamen, versleuteld wachtwoord, inlogdatum en de Spaanse tegenhanger van het BSI-nummer van 6608 mensen.

De database, die voor iedereen op internet zonder wachtwoord toegankelijk was, werd door beveiligingsonderzoeker Bob Diachenko gevonden. In de database vond Diachenko ook aanwijzingen dat aanvallers toegang tot de database hadden gehad. Het ging om een kwaadaardig script dat het op onbeveiligde databases heeft voorzien en vervolgens de inhoud verwijdert. Hierna laat het script een bericht achter dat de beheerder voor het terugkrijgen van de database moet betalen.

De onderzoeker waarschuwde VivaGym waarna de database binnen enkele uur werd beveiligd. De database werd door een externe leverancier beheerd. De leverancier zou inmiddels maatregelen hebben genomen om herhaling te voorkomen. VivaGym zegt de Spaanse privacytoezichthouder te zullen informeren, alsmede alle personen die in de database stonden.