Een Microsoft Azure Storage Account van Fujitsu was een jaar lang niet beveiligd, waardoor hij vrij toegankelijk was voor iedereen. De opslagaccount bevatte onder meer wachtwoorden en een back-up van klantgegevens. In het voorjaar van 2023 is de opslaglocatie offline gehaald.
Steeds meer bedrijven slaan bedrijfsinformatie op in de cloud. Dat is niet zo vreemd, omdat het allerlei voordelen met zich meebrengt. Zo hoef je niet te investeren in dure netwerkapparatuur en technisch onderlegde mensen om deze infrastructuur te onderhouden. De systemen van cloudaanbieders zijn bovendien stabiel: storingsgevoelige elementen van kritische componenten worden extra goed onderhouden.
Tot slot zijn vertrouwelijke gegevens goed beveiligd door middel van authenticatie en encryptie. Ook het datacenter zelf en de directe omgeving zijn bovengemiddeld goed beveiligd tegen onbevoegden die proberen binnen te dringen.
Al met al zijn kun je met een gerust hart je data opslaan in de cloud. Voorwaarde is wel dat de configuratie goed is geregeld. Uit onderzoek van BNR bleek onlangs dat tientallen Nederlandse bedrijven hun cloudomgeving niet hebben afgeschermd van de buitenwereld. In dat geval kan dataopslag in de cloud wel grote problemen opleveren.
Om dezelfde reden ging het bij Fujitsu ook fout. Tussen maart 2022 en begin 2023 had het Japanse techbedrijf de Azure Storage Account niet goed afgeschermd. Daardoor was de opslagaccount bijna een jaar lang voor iedereen toegankelijk.
Jelle Ursem van het DIVD ontdekte dit en gaf het begin vorig jaar door aan Fujitsu. Dat was nog niet zo gemakkelijk, zo vertelt hij tegenover techsite The Stack. Fujitsu heeft namelijk geen afdeling waar je dergelijke beveiligingsproblemen kan melden. Via een intern contact slaagde de Nederlandse beveiligingsonderzoeker er alsnog in om het datalek bij het bedrijf te melden. Fujitsu besloot toen om de Azure-account uit de lucht te halen.
De opslagaccount stond vol met vertrouwelijk en gevoelige data. Hij bevatte onder meer OneNote-bestanden met titels als ‘alles wat je moet weten’, dat ging over klanten van het bedrijf. Verder trof Ursem een CSV-bestand aan met AWS-wachtwoorden die uit LastPass waren gehaald en in plaintext waren opgeslagen. Verder bevatte de Azure-account een volledige back-up van een mailbox, inclusief duizenden e-mails met gevoelige data, en documenten met uitgebreide details over activiteiten van klanten en teams.
Of hackers of cybercriminelen deze informatie gebruikt hebben voor criminele doeleinden, is onbekend.
Het bovenstaande incident heeft niets te maken met het voorval dat zich onlangs heeft voorgedaan bij Fujitsu. Afgelopen week bevestigde het Japanse technologiebedrijf dat er een groot cybersecurityincident had plaatsgevonden. Daarbij waren vertrouwelijke en privacygevoelige gegevens van klanten mogelijk buitgemaakt door hackers.
In een persverklaring schreef Fujitsu het volgende: “Op verschillende van onze bedrijfscomputers is malware aangetroffen. Digitaal forensisch onderzoek heeft uitgewezen dat bestanden met persoonlijke informatie en klantgegevens mogelijk zijn verwijderd. Toen duidelijk was dat onze computers besmet waren met malware, hebben we de betreffende computers onmiddellijk losgekoppeld en maatregelen genomen om de overige computers te beveiligen.”
De Japanse privacywaakhond is direct na het voorval ingelicht over het mogelijke datalek. Fujitsu heeft toegezegd te zullen onderzoeken hoe de kwaadaardige software op de bedrijfssystemen terecht is gekomen en welke gegevens er mogelijk zijn ingezien of gestolen.
