En Elasticsearch server fyldt med persondata blev fundet uden password af en sikkerhedsforsker ved navn Bob Diachenko. Serveren stod angiveligt åben i to uger. Det skriver Techcrunch.
Serveren indeholdt millioner af dokumenter med personhenførbare data på titusinder af amerikanere som navn, adresse og personnumre - men også mere private oplysninger som kontonumre og oplysninger om indkomst og banklån.
Serveren var ikke password-beskyttet, så hvis man vidste, hvor oplysningerne lå, kunne man nemt få adgang til cachen med enorme mængder data.
»Den her information er en guldmine for cyberkriminelle, som kunne få alt, de behøver til at stjæle identiteter, indgive falske skatteoplysninger, få lån eller kreditkort,« siger Bob Diachenko til Techcrunch.
Endnu en server, endnu et læk
De samme dokumenter var også omfattet i andet et læk, skriver Techcrunch i en ny artikel. Her drejede det sig om en Amazon S3-server, som heller ikke var password-beskyttet.
Amazon S3-serveren lækkede dog originaldokumenterne, hvor det drejede sig om kopier på Elasticsearch-serveren.
Bob Diachenko fortæller Techcrunch, at den type servere er lukkede og private som standard, og at der derfor er nogen, som bevidst har indstillet serveren til at have en åben indgang.
Ligesom det andet læk indeholdt Amazon S3-serveren dokumenter med private, finansielle oplysninger fra banker og andre pengeinstitutter i USA.
