Online un db Veeam con 4,5 milioni di contatti

Veeam, un’azienda nota per i suoi servizi di gestione dati, ha inavvertitamente lasciato un database dedicato alle attività di marketing aperto a tutti per circa dieci giorni, dal 31 agosto al 9 settembre. Il database MongoDB non era configurato a dovere (non aveva una password) e i suoi 200GB di dati erano potenzialmente accessibili da chiunque. Tanto che il ricercatore Bob Diachenko se ne è accorto il 5 settembre e ha subito cercato di segnalare il problema ai responsabili dell’azienda, che hanno chiuso la falla cinque giorni dopo.

Il database conteneva 440 milioni di record usati presumibilmente per attività di marketing, con nome, cognome, indirizzo e-mail, tipologia di contatto (ad es. cliente, partner), Paese, dimensioni dell’azienda, a volte l’indirizzo IP. I dati erano stati raccolti dal 2013 al 2017.

Successivamente Peter McKay, co-CEO e Presidente di Veeam, ha pubblicato un messaggio di scuse e chiarimenti, precisando che i record univoci nel database erano 4,5 milioni anziché 440 milioni (molti infatti erano copiati più volte). Il problema sarebbe stato causato da un errore umano.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.