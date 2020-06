Het Britse securitybedrijf Keepnet Labs, waarvan een database met gegevens van allerlei datalekken tijdelijk voor iedereen op internet toegankelijk was, heeft een blogger met juridische stappen gedreigd om een bericht over het datalek aan te passen. Inmiddels heeft het securitybedrijf een verklaring over het datalek gegeven waarin het uitlegt hoe het probleem zich kon voordoen.

In maart van dit jaar kwam beveiligingsonderzoeker Bob Diachenko met het bericht dat hij een onbeveiligde server had ontdekt met een database die meer dan 5 miljard records bevatte die van andere datalekken afkomstig waren. Deze database was door een fout zonder wachtwoord toegankelijk en was door de zoekmachine BinaryEdge geïndexeerd. Vervolgens werd die gevonden door Diachenko.

De database bleek van Keepnet Labs te zijn, een Brits securitybedrijf dat verschillende diensten biedt waarbij het klanten waarschuwt als hun gegevens in een datalek voorkomen. Diachenko liet weten dat hij het bedrijf had gewaarschuwd, maar geen reactie had ontvangen. Een uur na zijn waarschuwing was de Elasticsearch-database offline gehaald.

Het nieuws over het datalek werd door verschillende websites overgenomen. Onder ander securityblogger Graham Cluley besteedde er aandacht aan. Keepnet Labs wilde echter niet op het datalek reageren en gaf ook geen verklaring. Wel vroeg het publicaties om de naam van het bedrijf uit hun artikelen te verwijderen.

Cluley vond dat er niets mis met zijn artikel was en gaf het bedrijf de gelegenheid om te reageren, of duidelijk te maken wat er niet klopte. Begin deze maand ontving de blogger een "notice and take-down" brief van een Brits advocatenkantoor. Daarin werd gesteld dat zijn bericht over het datalek onjuist was en de reputatie van het securitybedrijf konden beschadigen.

Opvallend was dat het advocatenkantoor wees naar een verklaring die helemaal niet in het artikel van Cluley voorkwam. De blogger had naar eigen zeggen geen zin om in een juridisch gevecht verwikkeld te raken en besloot de naam van Keepnet Labs uit het artikel te verwijderen. Inmiddels had ook Diachenko dat in zijn bericht gedaan. Een tweet van Cluley over zijn beslissing om de naam te verwijderen zorgde voor een golf van reacties waarin de naam van Keepnet Labs werd genoemd.

Verklaring Keepnet Labs

Afgelopen maandag kwam Keepnet Labs vervolgens met een verklaring. Daarin laat het bedrijf weten dat een derde partij verantwoordelijk was voor het databasebeheer. Deze partij voerde onderhoud uit en was bezig om de Elasticsearch-database te migreren. Om dit proces te versnellen besloot de verantwoordelijke engineer de firewall voor zo'n tien minuten uit te schakelen. In deze periode werd de database door BinaryEdge geïndexeerd. Diachenko vond vervolgens de geïndexeerde data en kon de database via een onbeveiligde poort benaderen, aldus de verklaring van het securitybedrijf. Keepnet Labs erkent dat Diachenko een e-mail had gestuurd, maar dat het bericht in de spamfolder was terechtgekomen.

Wat betreft het "notice and take-down" verzoek laat het bedrijf weten dat de berichtgeving over het datalek niet klopte en onjuistheden bevatte. Vervolgens werd er geprobeerd om publicaties het artikel te laten aanpassen. Uiteindelijk werd als een "laatste middel" bij één partij het advocatenkantoor ingezet. "We moeten onszelf beschermen wanneer vriendelijke verzoeken worden genegeerd, met name wanneer deze verklaringen onze reputatie beschadigen", aldus het bedrijf.

Tevens laat Keepnet Labs weten dat het naar aanleiding van het datalek verschillende acties heeft doorgevoerd. Zo is onder andere de samenwerking met de verantwoordelijke derde partij opgezegd en beheert het nu alle eigen it-diensten zelf.