image

Duitse autoverhuurder Buchbinder lekt data 3 miljoen klanten

vrijdag 24 januari 2020, 14:03 door Redactie, 1 reacties

Het Duitse autoverhuurbedrijf Buchbinder heeft via een onbeveiligde MSSQL-database de gegevens van meer dan 3 miljoen klanten gelekt, waaronder beroemdheden, politici, ministeries en ambassades. De tien terabyte aan klantendata was wekenlang voor iedereen op internet zonder wachtwoord toegankelijk.

Alleen het invoeren van het ip-adres van de server in bijvoorbeeld Windowsverkenner was voldoende, zo meldt het Duitse magazine c't dat over het datalek bericht. De oorzaak van het datalek was een configuratiefout in de back-upserver. Poort 445 stond open, waardoor de server en back-ups via het SMB-protocol toegankelijk waren. Burchbinder is één van de grootste autoverhuurbedrijven van Duitsland met 165 locaties in Europa en 2500 medewerkers. Vorig jaar had het bedrijf een omzet van bijna 350 miljoen euro.

De back-ups die onderzoekers op de server vonden bleken meer dan vijf miljoen bestanden te bevatten die 18 jaar teruggingen. In deze bestanden werden ingescande facturen, contracten, e-mails en betaalinformatie aangetroffen. Van de 3 miljoen getroffen klanten komen er 2,5 miljoen uit Duitsland, gevolgd door 400.000 uit Oostenrijk. De overige gedupeerde klanten zouden uit Italië, Slowakije en Hongarije afkomstig zijn.

Tevens ontdekten de onderzoekers een database met meer dan 500.000 ongelukken die tot 2006 teruggingen. Naast informatie over de bestuurders van de huurauto's en namen, adresgegevens en kentekennummers van de andere partij in het ongeluk, werden ook gegevens van getuigen gevonden, zoals telefoonnummers. De onderzoekers zagen ook namen en contactgegevens van personen die bij het ongeluk waren overleden of gewond geraakt. Naast de tijd en locatie stond er in de gegevens ook vermeld of de politie een bloedonderzoek had gevraagd.

Buchbinder laat op de eigen website weten dat het over een datalek is geïnformeerd en een onderzoek heeft ingesteld. Het bedrijf zegt dat het binnenkort met meer informatie komt. Volgens advocaat Stefan Hessel heeft Buchbinder de AVG overtreden. Zo werden in de database drieduizend wachtwoorden in plaintext gevonden en had het bedrijf de gegevens van klanten niet goed beveiligd, aangezien die voor iedereen toegankelijk waren.

Reacties (1)
24-01-2020, 15:15 door Anoniem
Dit is niet "een configuratiefout", dit is structureel geen benul hebben waar je mee bezig bent. Beginnersfouten, verkeerde en ongeschikte gereedschappen, standaardconfiguraties, software die [x] ongeschikt is om aan het publieke internet te hangen toch aan het publieke internet hangen, et cetera.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.