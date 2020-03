Twee Amerikaanse kredietverstrekkers hebben via een database die voor iedereen op internet toegankelijk was 425 gigabyte aan vertrouwelijke data gelekt. Het gaat onder andere om meer dan een half miljoen gevoelige juridische en financiële documenten, zoals bankafschriften, kredietoverzichten, contracten, kopieën van rijbewijzen, belastingpapieren, bankgegevens, aankoopbewijzen, afschriften van creditcards en andere informatie.

De database was van de bedrijven Advantage Capital Funding en Argus Capital Funding, die kredieten en kortlopende leningen aan het mkb verstrekken. Ook waren de bedrijven betrokken bij de ontwikkeling van een app genaamd MCA Wizard. De gegevens van beide bedrijven werden in een onbeveiligde Amazon S3-bucket aangetroffen. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn.

In dit geval waren de instellingen aangepast waardoor de bucket wel voor iedereen benaderbaar was. Nadat onderzoekers van vpnMentor de S3-bucket vonden hadden ze in eerste instantie geen idee wie de eigenaar was. Uiteindelijk kwamen ze uit bij Advantage en Argus. Beide bedrijven werden op 30 december gewaarschuwd, maar gaven geen reactie. Daarop werd Amazon zelf op 7 januari ingelicht, waarna de S3-bucket twee dagen later was beveiligd.