Gegevens van miljoen klanten Dow Jones op straat door AWS-configuratiefout
Persoonlijke informatie van miljoenen klanten van Dow Jones & Co, een Amerikaanse uitgeverij- en financiële informatieconcern, zijn uitgelekt. De data stond opgeslagen in een Amazon Web Service S3 bucket, die door een configuratiefout toegankelijk was voor miljoenen AWS-gebruikers.
Het datalek is ontdekt door Chris Vickery, een beveiligingsonderzoeker van het beveiligingsbedrijf Upguard. De data bleek te zijn opgeslagen in een AWS S3 bucket die zo was geconfigureerd dat iedere geauthentificeerde AWS-gebruiker via de bucket’s URL de data kon downloaden. Dit betekent dat iedereen met een gratis AWS-account toegang had tot de bucket en daarmee de gegevens van miljoenen klanten van Dow Jones & Co.
Namen, adresgegevens en e-mailadressen
Zowel namen, accountinformatie, adresgegevens, e-mailadressen als de laatste vier cijfers van de credit card van klanten van Dow Jones & Co waren toegankelijk voor onbevoegden. Daarnaast waren ook 1,6 miljoen gegevens van Dow Jones Risk and Compliance toegankelijk. Dit is een combinatie van databases die door financiële bedrijven worden gebruikt om compliance met anti-witwaswetgeving aan te tonen.
Dow Jones bevestigt dat de data van 2,2 miljoen gebruikers toegankelijk waren. Upguard zegt echter op basis van een ‘conservatieve schatting’ uit te gaan van 4 miljoen slachtoffers. Het beveiligingsbedrijf stelt dat de aanwezigheid van een groot aantal dubbele accounts dit verschil mogelijk kan verklaren. Ook geeft Dow Jones aan geen aanwijzingen te hebben dat kwaadwillenden de toegankelijk data daadwerkelijk hebben gedownload.
Eerdere datalekken door configuratiefouten
Het is niet de eerste keer dat een verkeerd geconfigureerde cloud omgeving leidt tot een datalek. In de afgelopen maanden werden ook Verizon, de WWE en Scottstrade met dergelijke datalekken geconfronteerd. Daarnaast lekte ook een database met gegevens van Amerikaanse stemgerechtigden uit.
Dossiers
Meer over
Lees ook
Van vibe-hacking tot flat-pack malware: eenvoudige AI-aanvallen omzeilen huidige beveiliging, toont HP-onderzoek aan
HP Inc. publiceert het Threat Insights Report, met sterke aanwijzingen dat aanvallers AI gebruiken om campagnes op te schalen en te versnellen. Hierbij verkiezen aanvallers veelal kosten, inspanning en efficiëntie boven kwaliteit. Ondanks dat deze AI-ondersteunde aanvallen vaak gestandaardiseerd en weinig verfijnd zijn, weten ze toch bedrijfsbevei1
Fortinet breidt FortiCNAPP uit met contextuele informatie over het netwerk, data en de runtime-lagen
Verbeteringen combineren informatie over de aanwezige netwerkbeveiliging, native Data Security Posture Management (DSPM)-technologie en runtime-validatie, zodat security-teams risico’s rond de beveiliging van de cloud op prioriteit kunnen indelen
Data Privacy Dag: druk op cybersecurity van organisaties blijft hoog
Het is vandaag Internationale Data Privacy Dag. Volgens Matt Cooke, Director Cybersecurity Strategy EMEA bij Proofpoint, herinnert deze dag ons aan de druk die organisaties voelen rondom AI en cybersecurity. “Aan de ene kant zorgen generatieve AI en agentische AI voor een productiviteitswinst, maar er is ook een keerzijde”