Veeam-server lekt meer dan 440 miljoen e-mailadressen

Veeam staat bekend als expert rond back-up en dataherstel, maar het heeft een eigen database met klantgegevens laks behandeld. Er werd meer dan 200 GB aan klantgegevens buitgemaakt, voornamelijk namen, e-mailadressen en in sommige gevallen IP-adressen.

Als datamanagement softwarebedrijf heeft Veeam een flinke misstap begaan. Security-onderzoeker Bob Diachenko heeft een blog neergepend over zijn recente vondst en wat hij allemaal kon buitmaken. Het gaat om een blootgestelde database met meer dan 200 GB aan klantgegevens met namen, e-mailadressen, aantal werknemers binnen het bedrijf en in sommige gevallen ook IP-adressen. Een potentiële goudmijn voor spammers of phishing-aanvallen.

Twee collecties

Diachenko laat weten dat de database geen wachtwoord had en voor iedereen toegankelijk was zolang je wist waar je moest zoeken. De database bevat twee collecties met 199,1 miljoen en 244,4 miljoen e-mailadressen verspreid tussen 2013 en 2017. Het is niet duidelijk hoeveel gegevens dubbel zijn tussen beide collecties.

TechCrunch heeft Veeam als eerste op de hoogte gebracht over het lek. Drie uur later werd de server offline gehaald. Veeam woordvoerder Heidi Kroft: “We werken aan een dieper onderzoek en zullen de nodige acties ondernemen.” Veeam noteert op zijn website dat het 307.000 klanten heeft en de meeste bedrijven in de Fortune 500 als klant heeft.

Update 14/09: Veeam heeft intussen officieel gereageerd met een verduidelijking van de cijfers en meer details. Lees het volledige rapport hier.