Veeam: Marketing-Datenbank war kurzzeitig angreifbar, Lücke bereits geschlossen
Das Unternehmen Veeam, welches sich vorrangig dem Datenmanagement und Backup-Lösungen wie Endpoint Backup verschrieben hat und damit eine Menge sensibler Kundendaten auf seinen Servern lagern hat, informiert seine Nutzer aktuell darüber, dass eine der Marketing-Datenbanken des Unternehmen für einen kurzen Zeitraum relativ ungeschützt zugänglich gewesen ist und so die Möglichkeit bestanden hätte, dass Dritte unberechtigten Zugriff auf nicht-sensible Marketinginformationen bekommen haben könnten.
Die Informationen beinhalteten Daten wie Kundennamen und Mailadresse, in einigen Fällen waren außerdem auch IP-Adressen involviert. Von einem wirklich Zugriff durch Dritte gibt es allerdings keine Meldung. Der festgestellte Fehler ist laut Veeam auf menschliches Versagen zurückzuführen, ohne näher ins Detail zu gehen:
[color-box color=“green“ rounded=“1″]Dear Veeam community member,
Veeam is committed to maintaining the privacy and security of your personal information. For this reason, I am writing to personally notify you about a recent incident affecting one of our marketing databases. Because we value the importance of your privacy and information security, we are treating this matter very seriously.
What happened?
We recently became aware that one of our marketing databases, which was not easily discoverable, may have been accessible to unauthorized third parties for a limited time due to human error. As soon as we validated the issue, we quickly secured that database. Once secured, we launched a full investigation into the scope of the incident, and took corrective measures to reduce the risk of future such incidents.
What information was involved?
The exposed database contained non-sensitive marketing records, such as name and email address, and in some instances IP addresses. It is possible that this information was visible to an outside third party for a limited time.
What actions were taken?
Veeam takes the privacy and security of your personal information seriously. As soon we validated the incident, we moved quickly to ensure the database was properly secured and to limit any further exposure. We are now actively investigating the matter to ensure that it does not happen again. As a company, we value honesty and openness, which is why I wanted to personally assure you that steps have been taken to prevent a similar issue from occurring in the future. We sincerely apologize for any stress or inconvenience this issue may have caused for you.
Please direct any questions to privacy@veeam.com. In addition, please use only your Veeam account page to adjust your contact information. Veeam will NOT ask you to update your information by email.
[/color-box] Danke @derhabicht_de
Es ist schon ziemlich dreist von Veeam, Kundendaten als „unsensible Daten“ herunterzuspielen. Und die Kundendatenbank trotz früher Warnungen tagelang ungeschützt im Netz herumliegen zu lassen. So verspielt man Vertrauen.
Ein Sicherheitsforscher kritisiert in einem Blogeintrag, dass Veeam auf seine Hinweise mehrere Tage nicht reagiert hätte. Erst nach einer Benachrichtigung durch das Internetmagazin Techcrunch entfernte die Firma innerhalb von drei Stunden den Zugang. (Quelle: Golem)
1. Mein Name und meine E-Mail Adresse sind noch nicht sensibel? max.geheimagent@verfassungsschutz.de sieht das bestimmt anders
2. Das Veeam-Blog nutzt Disqus für Kommentare. Das war doch mal was …
3. Interessant, dass bisher eigentlich nur Golem darüber berichtet hat
Nicht nur das.
„Unter den Einträgen finden sich persönliche Daten wie Vor- und Nachname, E-Mail-Adresse sowie das Land, in dem sich die Person aufhält. Angereichert sind die Daten mit Tracking- und Marketing-Informationen wie IP-Adressen, den verwendeten Browsern und Referrer-URLs. Letztere ist die Adresse der Seite, die vor einem Webseitenwechsel besucht wurde. Diese wird browserseitig an die Webseite, auf die gewechselt wird, übermittelt.“