Veeam lagerte Kontakt-Daten offen im Netz (Update)

Dem auf Datenmanagement spezialisierten Softwarehersteller Veeam scheint beim Management einer eigenen Datenbank ein grober Faux-Pas unterlaufen zu sein. Der Security-Experte Bob Diachenko berichtet in seinem Blog, dass er eine frei zugängliche und nicht Passwort-geschützte Datenbank entdeckt habe, die Daten von wohl rund 440 Millionen Kontakten von Veeam enthielt.
 
Diachenko versuchte, Veeam zu informieren, erhielt darauf aber keine Reaktion. Erst als sich auch noch 'TechCrunch' einschaltete und ebenfalls Veeam-Verantwortliche kontaktierte, wurde die Datenbank gesichert.
 
Laut Diachenko dürfte es sich um eine Datenbank gehandelt haben, die Veeam-Marketing-Leute verwendet haben, um ihre Kunden via das Marketing-Tool Marketo zu erreichen. Gemäss Diachenko enthielt die Datenbank Informationen wie die Namen von Kontakten, E-Mail-Adressen, IP-Adressen, Typus (Partner oder Endkunde) und Unternehmensgrösse. Nicht unbedingt sensible Informationen, aber eine potentielle Goldgrube für Spammer und Phisher.
 
Genau so war es nicht, schreibt Peter McKay, Co-CEO und President von Veeam nun: "Während der Wartung unseres Netzwerks wurde diese einzelne Marketing-Datenbank, die Marketing-Datensätze enthielt (die Namen, E-Mail-Adressen und IP-Adressen enthalten können), aufgrund menschlicher Fehler sichtbar und offengelegt. Während die Datenbank nicht leicht zugänglich war, war sie für unbefugte Dritte sichtbar. Sobald wir auf die Situation aufmerksam wurden, ergriffen wir sofort Massnahmen, um die Datenbank ordnungsgemäss zu sichern. Obwohl berichtet wurde, dass es 440 Millionen E-Mail-Datensätze gab, waren viele davon Duplikate oder Vielfache der gleichen E-Mails, und nach Überprüfung gab es ungefähr 4,5 Millionen eindeutige E-Mail-Adressen." Darunter seien keine sensiblen Daten gewesen, "da Veeam keine sensiblen persönlichen Daten von seinen Kunden sammelt", so McKay. (hjm)
 
Update 13.9.2018: Der Artikel wurde um das Statement von Peter McKay ergänzt.