De Italiaanse maker van digitale waterkaarten Navionics heeft recentelijk data van meer dan 261.000 klanten via een onbeveiligde database gelekt. Onderzoeker Bob Diachenko kwam erachter dat een verkeerd geconfigureerde MongoDB-database voor het hele internet toegankelijk was.
MongoDB is een populaire, opensource NoSQL-database. Veel organisaties maken er gebruik van voor hun website.
Shodan
De niet-beveiligde database was op 9 september door de zoekmachine Shodan geïndexeerd; de volgende dag had de onderzoeker hem gevonden. De database met een omvang van 9 gigabyte bevatte data van ruim 261.000 klanten. Hierbij ging het om e-mailadressen, namen en soms ook om de aangeschafte producten. Tevens stonden er in de database navigatiegegevens van boten.
Onderzoek
Navionics werd in 2017 overgenomen door Garmin. Op 11 september werd Navionics op de hoogte gebracht van het datalek. Dezelfde dag nog repareerde het bedrijf het lek. Daarna werd er een onderzoek gestart of er data door derden was benaderd of ontvreemd. Dit bleek echter niet zo te zijn. “Toch besloot Navionics getroffen klanten op 8 oktober via e-mail te informeren,” schreef het bedrijf in een verklaring.