Kickstarter-ster lekt meer dan een half miljoen records met klantgegevens

De gelekte gegevens omvatten:

• E-mailadressen van klanten,
• Thuisadressen,
• Bestel informatie,
• Codes voor het volgen van zendingen,
• Vragen van klantenondersteuning,

Op 25 april ontdekte het onderzoeksteam van Cybernews het lek en informeerde het bedrijf. Hoewel de gegevens op 24 april op zoekmachines verschenen, beslaan de gelekte supporttickets bijna een decennium van juni 2014 tot mei 2023, waardoor de omvang van het lek groter is.

Het datalek werd veroorzaakt door een openbaar toegankelijke Elasticsearch instance. Elasticsearch is een open-source zoekmachine voor het doorzoeken en analyseren van grote hoeveelheden gegevens op websites of systemen.

Toegang tot de Elasticsearch-servers mag nooit worden blootgesteld aan het openbare web zonder de juiste authenticatie, omdat het een veel voorkomend doelwit is voor bedreigers die uit zijn op gebruikersgegevens. Vooral ransomware-bots richten zich op slecht beveiligde instanties en wissen gegevens.

Dat was precies het geval bij Peak Design. Onderzoekers van Cybernews vonden een losgeldbrief op de systemen van het bedrijf, wat aangeeft dat de dreigingsactor er waarschijnlijk minstens één keer toegang toe heeft gehad.

De notitie, achtergelaten door een ransomware bot, vermeldde dat de gegevens waren geback-upt en eiste 0,057 (ongeveer 3940 dollar) in Bitcoin. Anders zouden ze de klantgegevens openbaar maken en verwijderen.

Hoewel de informatie in het geval niet in real-time werd bijgewerkt en dus geen directe bedreiging vormde voor de verzending van producten, blijven de gelekte persoonlijke gegevens van klanten een grote bron van zorg. De gegevens kunnen mogelijk worden verkocht en gebruikt door marketingbureaus op de grijze markt, gegevensmakelaars en spammers, of worden gebruikt voor phishing- of doxxingaanvallen.

Na de onthulling heeft het bedrijf de toegang tot de gegevens veiliggesteld. Een officiële reactie is nog niet ontvangen.