Beheer

Security
dollars

Miljoenen hypotheek- en leningsdocumenten VS uitgelekt

24 miljoen hypotheekdocumenten en bankleningen stonden wachtwoordloos in de cloud.

© CC BY 2.0 - Flickr.com,  PRO401(K)
24 januari 2019

24 miljoen hypotheekdocumenten en bankleningen stonden wachtwoordloos in de cloud.

Een goed gevulde database met ruim tien jaar aan financiële data van miljoenen Amerikanen is zo'n twee weken lang publiekelijk toegankelijk geweest. Het gaat om meer dan 24 miljoen documenten over bankzaken zoals hypotheken en leningen van enkele van de grootste banken in de VS.

Deze open en bloot toegankelijke dataschat is ontdekt door een security-onderzoekers. Naar schatting van techblog TechCrunch heeft de datalekkende server zo'n twee weken lang open gestaan. De oorzaak van dit datalek is het ontbreken van een wachtwoord op de gebruikte Elasticsearch-database die op de server draaide.

Compleet financieel plaatje

Naast hypotheekdocumenten bevatte het lekkende systeem ook aflossingsschema's, contracten voor bankleningen, adressen, Social Security-nummers, en andere uiterst gevoelige financiële informatie. Veel van deze documenten waren middels OCR (optical character recognition) gescand en omgezet in digitale bestanden, compleet met eventuele handtekeningen. De openstaande Elasticsearch-database was zo'n 51 gigabyte groot.

Ontdekker Bob Diachenko is eerder deze maand bij toeval op deze waardevolle financiële data gestuit. Hij relativeert in zijn blogpost over dit datalek nog wel de ruim 24 miljoen database records: dit zijn niet elk complete documenten, maar elk verschillende delen van de documenten. Desondanks gaat het om een flink lek van gevoelige gegevens. Getroffen banken zijn Citigroup, HSBC Life Insurance, Wells Fargo, Capital One maar ook enkele Amerikaanse overheidsdiensten.

Niet banken zelf

De lekkende partij is overigens niet een van de betrokken banken, maar een analyticsbedrijf dat actief is in de financiële sector. Deze firma, Ascension Data & Analytics, biedt voor banken en andere financiële instellingen onder meer document management, met OCR. Het datalek is na ontdekking gelijk in vertrouwen (responsible disclosure) gemeld aan een bedrijf dat in een groot aantal van de gelekte documenten voorkwam: CitiFinancial.

Die firma heeft relatief snel actie ondernomen en security-onderzoeker Diachenko nog bedankt. Details over de zaak zijn daarbij niet gedeeld, waarna de ontdekker in samenwerking met TechCrunch de oorzaak van het lek verder zijn gaan uitzoeken. Het gebrek aan authenticatie voor toegang tot de goed gevulde Elasticsearch-database maakte het ook mogelijk om malware (zoals bijvoorbeeld ransomware) te installeren op de openstaande server, merkt Diachenko nog op in zijn blogpost.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.