Gegevens van miljoen klanten Dow Jones op straat door AWS-configuratiefout

Persoonlijke informatie van miljoenen klanten van Dow Jones & Co, een Amerikaanse uitgeverij- en financiële informatieconcern, zijn uitgelekt. De data stond opgeslagen in een Amazon Web Service S3 bucket, die door een configuratiefout toegankelijk was voor miljoenen AWS-gebruikers.

Het datalek is ontdekt door Chris Vickery, een beveiligingsonderzoeker van het beveiligingsbedrijf Upguard. De data bleek te zijn opgeslagen in een AWS S3 bucket die zo was geconfigureerd dat iedere geauthentificeerde AWS-gebruiker via de bucket’s URL de data kon downloaden. Dit betekent dat iedereen met een gratis AWS-account toegang had tot de bucket en daarmee de gegevens van miljoenen klanten van Dow Jones & Co.

Namen, adresgegevens en e-mailadressen

Zowel namen, accountinformatie, adresgegevens, e-mailadressen als de laatste vier cijfers van de credit card van klanten van Dow Jones & Co waren toegankelijk voor onbevoegden. Daarnaast waren ook 1,6 miljoen gegevens van Dow Jones Risk and Compliance toegankelijk. Dit is een combinatie van databases die door financiële bedrijven worden gebruikt om compliance met anti-witwaswetgeving aan te tonen.

Dow Jones bevestigt dat de data van 2,2 miljoen gebruikers toegankelijk waren. Upguard zegt echter op basis van een ‘conservatieve schatting’ uit te gaan van 4 miljoen slachtoffers. Het beveiligingsbedrijf stelt dat de aanwezigheid van een groot aantal dubbele accounts dit verschil mogelijk kan verklaren. Ook geeft Dow Jones aan geen aanwijzingen te hebben dat kwaadwillenden de toegankelijk data daadwerkelijk hebben gedownload.

Eerdere datalekken door configuratiefouten

Het is niet de eerste keer dat een verkeerd geconfigureerde cloud omgeving leidt tot een datalek. In de afgelopen maanden werden ook Verizon, de WWE en Scottstrade met dergelijke datalekken geconfronteerd. Daarnaast lekte ook een database met gegevens van Amerikaanse stemgerechtigden uit.