De gegevens van meer dan 15 miljoen gebruikers van pdf-software Lumin PDF zijn via een onbeveiligde MongoDB-database in handen van derden terechtgekomen en via een hackingforum openbaar gemaakt. Het datalek vond in april van dit jaar plaats, maar is pas deze week bekend geworden.

Lumin PDF biedt tools voor het bekijken, maken en beheren van pdf-documenten. Een MongoDB-database met de gegevens van gebruikers was voor iedereen op internet toegankelijk. De ontwikkelaar zou hier verschillende keren over zijn geïnformeerd, maar beveiligde de database niet. Daardoor zijn de gegevens van gebruikers in handen van een derde partij gekomen.

Het gaat om Google-authenticatietokens, e-mailadressen, geslacht, namen, gesproken talen, gebruikersnamen en met bcrypt gehashte wachtwoorden van 15,4 miljoen gebruikers. Dat laat datalekzoekmachine Have I Been Pwned weten. Lumin PDF claimt zelf dat het 17 miljoen gebruikers heeft. Via Have I Been Pwned kunnen gebruikers in bijna 8,5 miljard gestolen records kijken of hun data ooit bij een website is gestolen. 57 procent van de buitgemaakte e-mailadressen was al via een ander datalek bij Have I Been Pwned bekend.