Een marketingbedrijf dat een tool levert waar allerlei datingsites en webshops gebruik van maken heeft miljoenen gevoelige records van gebruikers van deze websites gelekt. Het gaat om privéberichten, namen, geboortedata, e-mailadressen, ip-adressen, foto's en profielen van honderdduizenden mensen, zo meldt vpnMentor. Het marketingbedrijf in kwestie heet Mailfire en biedt een tool waarmee websites en smartphone-apps pushnotificaties aan gebruikers kunnen sturen die hiervoor toestemming hebben gegeven.

Onderzoekers ontdekten een onbeveiligde Elasticsearch-server van Mailfire die kopieën van deze notificaties bevatte en voor iedereen op internet toegankelijk was, aldus ZDNet. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse.

De server bevatte meer dan 882GB aan data, afkomstig van meer dan zeventig websites. Het ging voornamelijk om datingsites, maar er zaten ook verschillende webshops tussen. Die gebruikten de notificatietool om gebruikers te laten weten dat ze nieuwe chatberichten hadden ontvangen. Volgens de onderzoekers was de 882GB aan data in een periode van vier dagen verzameld. Het ging bij elkaar om 370 miljoen records voor 66 miljoen individuele notificaties die over een periode van 96 uur waren verstuurd.

Naast de privégegevens en berichten van gebruikers bleek dat het ook mogelijk was om alle door de datingsites verstuurde e-mails te bekijken. Daarmee had een aanvaller onder andere wachtwoorden kunnen resetten en zo accounts kunnen overnemen. VpnMentor ontdekte de server op 31 augustus, waarna Mailfire op 3 september werd gewaarschuwd. Dezelfde dag werd de server beveiligd en een dag later waarschuwde het bedrijf alle getroffen klanten.