Veeam databaselek: niet 440 miljoen maar 4,5 miljoen emailadressen gelekt

Drie dagen geleden kwam het nieuws naar buiten dat een onbeveiligde Veeam marketingserver 440 miljoen gegevens had gelekt. Veeam heeft het lek nu volledig onderzocht en transparant de details gedeeld met zijn klanten. Het benadrukt ook dat niet 440 miljoen maar 4,5 miljoen e-mailadressen correcter is.

In een uitgebreide blogpost van Veeam Co-CEO en President Peter McKay worden alle details transparant gedeeld, drie dagen na de rapportering van het lek. Volgens McKay ging het inderdaad om een marketingserver, zoals we eerst hadden bericht. Het stoort hem echter dat het nieuws zo snel bekend werd gemaakt en dat ze niet hebben gewacht op officiële cijfers na een grondig onderzoek.

4,5 miljoen adressen

Eerst werd er gemeld dat 440 miljoen e-mailadressen op de marketingserver zouden staan, maar McKay benadrukt dat het om 4,5 miljoen unieke adressen gaat. Volgens hem stonden er heel veel dubbele e-mailadressen op de server en verschillende aliassen. Er stond geen gevoelige informatie op de server, omdat Veeam die ook niet verzamelt van zijn (prospect) klanten or partners.

McKay laat weten dat het allemaal een spijtige samenloop van omstandigheden was. De marketing database met gegevens (namen, e-mailadressen en IP-adressen) werd publiek beschikbaar tijdens een onderhoudsperiode van het netwerk. Dit had niet mogen gebeuren en kwam door een menselijke fout. Hij benadrukt dat de database daarom nog steeds heel lastig vindbaar was, maar dat het wel bruikbaar was voor derde partijen.

Meldingsplicht

Veeam heeft direct de nodige stappen genomen om elke database te vergrendelen met de nodige securityprotocollen. Ze hebben daar bovenop ook een aantal autoriteiten (o.a. GDPR met de meldplicht) op de hoogte gebracht van het incident. Ondanks dat er geen gevoelige informatie werd gelekt, is de fout onvergeeflijk volgens McKay.

Ondanks dat het bericht pas vandaag de wereld wordt uitgestuurd, benadrukt Veeam dat ze niet eerder alle informatie hebben kunnen verzamelen om een compleet verslag te brengen. Bovendien hebben ze tegelijk de nodige autoriteiten met een compleet verslag op de hoogte gebracht. Veeam en McKay excuseren zich meermaals in de blogpost en zullen leren uit hun fouten.