Het Israëlische marketingbedrijf Straffic heeft via een Elasticsearch-database de privégegevens van miljoenen Amerikanen en Europeanen gelekt. In tegenstelling tot veel andere datalekken met zoekmachinesoftware Elasticsearch, waarbij databases door een configuratiefout zonder wachtwoord toegankelijk zijn, was de database in dit geval wel beveiligd. Het wachtwoord om toegang tot de database te krijgen stond echter in een plaintext bestand op een willekeurig domein.

Het bestand werd door een beveiligingsonderzoeker gevonden die zo toegang tot de 140GB grote database kon krijgen. Daarin stonden 49 miljoen unieke e-mailadressen, alsmede namen, geslacht, telefoonnummers en adresgegevens van Amerikanen en Europeanen. Hoe Straffic de gegevens heeft verkregen is onbekend. In een reactie stelt het bedrijf dat er een kwetsbaarheid op één van de servers is gevonden en dat het probleem inmiddels is verholpen.

Troy Hunt van datalekzoekmachine Have In Been Pwned stelt tegenover Data Breach Today dat de datalekmelding van Straffic één van de ergste is die hij ooit heeft gezien. "Het laat niet weten welke data is gelekt, wanneer de kwetsbaarheid is geïntroduceerd, wanneer die is verholpen, hoeveel mensen zijn geraakt en of die zullen worden gewaarschuwd. Dan is er de reactie dat het onmogelijk is om een volledig immuun systeem te ontwikkelen, wat geen doel lijkt te hebben behalve als een excuus voor hun falen in het beveiligen van het systeem", aldus Hunt.

De e-mailadressen zijn inmiddels aan Have I Been Pwned en Firefox Monitor toegevoegd. Van de 49 miljoen gelekte e-mailadressen was 70 procent al via een ander datalek bij de zoekmachine bekend.