Nicolai Busekist
En åben database eksponerede millioner af e-mails fra virksomheder og myndigheder, advarer sikkerhedsforskere.
En fransk e-mailudbyder har utilsigtet lækket millioner af oplysninger efter en alvorlig sikkerhedsfejl. Det skriver TechRadar med henvisning til en rapport, der er udarbejdet af sikkerhedsforskere hos Cybernews.
Ifølge forskerne lå en Elasticsearch-database frit tilgængelig på internettet, hvorfor enhver med en browser og kendskab til serverens placering kunne få adgang til oplysningerne.
Databasen indeholdt omkring 40 millioner SMTP-poster. Blandt materialet fandtes blandt andet afsender- og modtageradresser, lokationsoplysninger samt IP-adresser fra mailservere.
Cybernews opdagede databasen og kontaktede virksomheden bag systemet, som er det franske selskab Alinto, og kort efter blev adgangen til serveren lukket.
Alinto leverer løsninger, der skal sikre e-mailkommunikation og beskytte e-mailinfrastruktur mod cyberangreb. Serveren var ifølge forskerne også forbundet med Cleanmail.eu, som er virksomhedens sikkerhedsmæssige relæ til håndtering af e-mails.
Flere store virksomheder er blandt dem, hvis oplysninger fremgik af databasen. Cybernews nævner blandt andet L’Oréal, Renault og DHL.
Derudover er mange offentlige institutioner også blevet ramt af det. Ifølge forskerne indgik også oplysninger fra franske myndigheder, kommuner og ambassader verden over. Mindst 14.000 unikke e-mailadresser fra offentlige institutioner blev eksponeret.
Ud af de 40 millioner registreringer vurderer Cybernews, at mindst 4,5 millioner adresser er unikke.
Selvom lækkede e-mailadresser i sig selv kan virke harmløse, kan oplysningerne stadig udnyttes af cyberkriminelle. Ifølge forskerne kan data bruges til at afsløre, hvilke personer der kommunikerer med hinanden og hvornår.
“Det kan hjælpe hackere med at udgive sig for en person, du normalt kommunikerer med,” forklarer Cybernews.
Forskerne tilføjer også, at sådanne data kan bruges til at kortlægge relationer i virksomheder og dermed afsløre følsomme oplysninger – eksempelvis planer om nye produkter.
Det er uklart, om uvedkommende nåede at finde databasen, før den blev lukket.
