Veeam vazou um banco de dados de clientes com mais de 445 milhões de registros

Bob Diachenko afirmou que a Veeam vazou um banco de dados de clientes com mais de 445 milhões de registros. Confira os detalhes dessa história e entenda.


Veeam Software, sediada em Baar, na Suiça, é uma empresa privada de tecnologia de informação que desenvolve software de gerenciamento de cópia de segurança, recuperação de desastre e virtualização para ambientes VMware e Hyper-V.

Veeam vazou um banco de dados de clientes com mais de 445 milhões de registros
Veeam vazou um banco de dados de clientes com mais de 445 milhões de registros

Veeam vazou um banco de dados de clientes com mais de 445 milhões de registros

Em 5 de setembro, o pesquisador de segurança independente Bob Diachenko encontrou um banco de dados de registros públicos de clientes de propriedade da Veeam, que aparentemente, esqueceu de proteger seus dados.

A Veeam, que se considera “líder global em Gerenciamento Inteligente de Dados”, parece ter perdido suas credenciais de login para o enorme banco de dados de 200 GB de registros de clientes, pois poderia ser acessado por qualquer pessoa que soubesse onde procurar.

Após suas constatações, Diachenko notificou a empresa, mas não conseguiu entrar em contato com a Veeam, embora após tentativas subsequentes de contatá-las, a empresa conseguiu proteger o banco de dados no dia 9 de setembro.

De acordo com Diachenko, o mecanismo de busca da Shodan para dispositivos conectados à Internet indexou o banco de dados de IP hospedado pela Amazon em 31 de agosto, o que significa que o banco de dados estava aberto para acesso por pelo menos nove dias.

Conforme divulgado no post de Diachenko, o banco de dados da Veeam continha mais de 445 milhões de registros relacionados a uma campanha de marketing automatizada usando o Marketo e incluía informações como endereços de e-mail de clientes, nome completo, endereço IP e tamanho da organização, entre muitas outras entradas.

Embora o vazamento de dados não contivesse dados confidenciais como texto simples ou senhas com hash, o banco de dados ainda pode ser um tesouro para qualquer agente de ameaça que conseguisse acessá-lo até que a Veeam conseguisse protegê-lo e quem pudesse usá-lo para ataques de phishing e spam.

Em seu artigo, Diachenko disse o seguinte:

“Também foi uma grande sorte que o banco de dados não tenha sido atingido por uma nova onda de ataques de ransomware que visam especificamente os MongoDBs (com muito mais demanda por extorsão do que no ano passado).”

Todos os administradores de banco de dados são aconselhados a levar em conta que o MongoDB divulgou diretrizes de segurança para seu produto de banco de dados há um ano, adicionando novos recursos de segurança internos, como criptografia, controles de acesso e auditoria detalhada.

O que está sendo falado no blog

Sobre o Rodrigo Lilge

Entusiasta do software livre, colaborador no blog do Edivaldo, nerd de carteirinha, jogador por paixão e usuário Linux desde um tempão.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.