Tech Data lekt 264 GB aan data via slecht geconfigureerde server

Security-onderzoekers van vpnMentor hebben een groot datalek ontdekt bij de internationale IT-distributeur Tech Data. Zo’n 264 GB aan klantgegevens werd daarbij blootgesteld. 

Het gaat volgens de onderzoekers over een volledig database-lek, waarbij veel bedrijfs- en persoonlijke gegevens van zowel klanten als medewerkers naar buiten zijn gelekt. Het team trof onder meer e-mailadressen en persoonlijke gebruikersgegevens aan, evenals informatie over resellers en facturen, betalings- en creditcardgegevens, interne security-logs, niet-versleutelde logins en wachtwoorden, en meer.

“We zagen dat er een logboekbeheerserver (Graylog) was die systeembrede gegevens lekte”, schrijven de onderzoekers in hun rapport. De server draaide een database die wordt gebruikt om interne gebeurtenissen voor de StreamOne-cloudservice van Tech Data te registreren, maar was niet beschermd met een wachtwoord. “Dit was een ernstig lek voor zover we konden zien, zo erg dat alle inloggegevens die nodig waren om in te loggen bij klantaccounts beschikbaar waren.”

“Omdat Tech Data zo’n belangrijke speler in de industrie is, heeft de blootgestelde database het bedrijf kwetsbaar gemaakt voor concurrenten die een oneerlijk voordeel willen behalen en voor hackers om de controle over de systemen over te nemen en deze te besmetten met ransomware en dergelijke”, gaan de onderzoekers verder.

Tech Data werd een eerste keer gecontacteerd op 2 juni, meteen na de ontdekking van het lek. Op 4 juni volgde een reactie en werd het lek binnen enkele uren gedicht. “Het is het vermelden waard dat het team van Tech Data zeer professioneel was in de reactie op het nieuws van het lek, en de juiste vragen stelde om het probleem op te lossen”, merken de onderzoekers op.

Geen misbruik

Tech Data laat in een reactie aan CRN weten dat het geen misbruik van de gelekte informatie heeft vastgesteld. “Op basis van wat we op dit moment weten, is er geen bewijs dat de gegevens die op de betreffende server zijn opgeslagen, zijn misbruikt voor ongeautoriseerde transacties of andere fraude. We blijven dit incident onderzoeken en zullen voldoen aan alle vereisten voor gegevensrapportage, waar nodig.”

In tegenstelling tot wat vpnMentor rapporteert, zegt Tech Data evenwel dat de server alleen “een combinatie van bedrijfsgegevens zoals op een visitekaartje vermeld staat”, “bepaalde andere informatie, zoals eenmalige inloggegevens om een specifieke cloudservice te activeren” en “datum en tijd van service-activeringen” bevatte.

TechCrunch-journalist Zack Whittaker kon een deel van de gelekte gegevens inkijken en bevestigt het rapport van vpnMentor. “We ontdekten grote hoeveelheden klantgegevens, waaronder namen, postadressen en e-mailadressen, functietitels, factureringsgegevens en ontvangstbewijzen. De gegevens bevatten ook gedeeltelijke betalingsinformatie, zoals kaarttype, namen van kaarthouders en vervaldata”, schrijft hij in zijn artikel.

In een reactie aan Techzine benadrukt Tech Data nogmaals dat er geen betaal- of inloggegevens op de getroffen server stonden. “We slaan geen creditcardnummers of bankrekeninggegevens op in de StreamOne-marktplaats. Belangrijk is dat er geen gegevens die nodig zijn om in te loggen op StreamOne of andere Tech Data-klantenaccounts op de server waren opgeslagen. […] Tech Data neemt de bescherming van de gegevens van onze klanten, partners en medewerkers zeer ernstig. Zoals altijd ligt onze focus op het handhaven van de gegevensbeveiliging en vertrouwelijkheid.”