Onbeveiligd endpoint gaf toegang tot datawarehouse Boston Consulting Group

In dit artikel:

Securitybedrijf CodeWall ontdekte dat een onbeveiligd API-endpoint van adviesbureau Boston Consulting Group toegang gaf tot een datawarehouse met miljarden vertrouwelijke records. Met een tool voor het analyseren van domeinnamen en API-endpoints vonden onderzoekers de volledige API-documentatie van BCG (372 endpoints). Eén endpoint accepteerde SQL-queries zonder API-key, sessietoken of andere authenticatie, waardoor onder meer personeelsgegevens (inclusief salarisinformatie), informatie over fusies en overnames en transactiedata toegankelijk waren. BCG, dat 33.000 medewerkers heeft en in 2024 13,5 miljard dollar omzet rapporteerde, werd op 12 maart geïnformeerd; het lek was twee dagen later gedicht.

De vondst benadrukt het belang van basisbeveiliging bij API’s: authenticatie, toegangsbeheer, logging en regelmatige audits zijn cruciaal om datalekken en compliance-risico’s te voorkomen.