3 min Security

Enorme database met gevoelige info open en bloot op internet

Insight: Security

Enorme database met gevoelige info open en bloot op internet

Zo’n 31,5 miljoen facturen, bestelorders, contracten, patiëntformulieren en andere gevoelige documenten zijn enige tijd in een niet-versleutelde database beschikbaar geweest op internet. De 2,7 TB aan data is afkomstig van SaaS-provider ServiceBridge en gaat in sommige gevallen terug tot 2012.

De grote hoeveelheid gevoelige documentatie is ontdekt door infosec-specialist Jeremiah Fowler, die over zijn bevindingen rapporteert op WebSitePlanet. Hij stelt dat een dergelijke open database (dus niet afgeschermd door de eigenaar dan wel beheerder van de gegevens) koren op de molen is van criminelen die de data kunnen gebruiken voor phishing-campagnes, oplichtings- en fraudepraktijken en man-in-the-middle-aanvallen.

Fowler zou de database onder de aandacht hebben gebracht van ServiceBridge, dat de database prompt achter slot en grendel zette. Een verdere reactie bleef evenwel uit.

Ook Europese bedrijven in database

Het is niet duidelijk hoe lang de database al stond opengesteld voor het internet, of dat anderen er informatie uit hebben gestolen en of de database direct door ServiceBridge of een derde partij werd beheerd. Hoewel de meeste data afkomstig was van partijen uit de Verenigde Staten, zaten er ook documenten van Canadese en Europese bedrijven tussen, aldus Fowler. Hij zegt niet specifiek om welke landen in Europa het gaat.

De informatie bestond uit pdf- en html-documenten en was netjes gesorteerd in mappen per jaar en maand. In een interview met The Register vertelt Fowler dat de lijst met klanten onder meer huiseigenaren en scholen omvatte, evenals religieuze instellingen, casino’s, zorgverleners, ongediertebestrijders en restaurants.

Behalve de bovengenoemde documenttypen zaten er ook werkbonnen tussen, inspectieformulieren en gedeeltelijke creditcardgegevens. In sommige gevallen stonden zelfs thuisadressen vermeld, inclusief foto’s van de buiten- én binnenkant van percelen en soms toegangscodes om dergelijk vastgoed binnen te komen.

Factuur namaken

ServiceBridge voorziet onder meer in software voor field service management, werkroostering en het genereren en afhandelen van orders, contracten, werkbonnen en dergelijke voor medewerkers buitendienst. Als voorbeeld van hoe deze info kan worden misbruikt noemt Fowler een gedeeltelijk betaalde factuur met alle belangrijke gegevens van een klant erop vermeld. Het is een koud kunstje voor een oplichter om de factuur na te maken en de klant te vragen de rest van het factuurbedrag alsnog te voldoen.

ServiceBridge is in 2020 overgenomen door GPS Insight, gespecialiseerd in fleet management en GPS-volgsystemen. Hoewel er documenten in de database zaten met het logo van dit bedrijf, betrof dit geen fleet management. Fowler zegt niet te willen impliceren dat ServcieBridge nalatig heeft gehandeld. Ook weet hij niet of er daadwerkelijk data is buitgemaakt. Wel drukt hij klanten van het bedrijf op het hart om extra waakzaam te zijn. “Trust nothing”.

Lees ook: Ticketmaster-incident toont: aanvallers breken niet meer in, maar loggen in