De Dow Jones Watchlist, die volgens het Amerikaanse bedrijf door acht van de tien grootste banken wordt gebruikt voor het beoordelen van risicovolle personen en bedrijven, was door een verkeerd geconfigureerde server voor iedereen op internet zonder wachtwoord toegankelijk.

Dat meldt beveiligingsonderzoeker Bob Diachenko in een blogposting. Via een openbare Elasticsearch-cluster vond Diachenko de dataset van de Watchlist. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. De informatie die de onderzoeker aantrof was voor iedereen toegankelijk.

Banken gebruiken de Watchlist om risico’s te identificeren en voor onderzoek. De dataset bevatte 2,4 miljoen records met “politically exposed persons”, hun familieleden en naaste medewerkers, nationale en internationale sanctielijsten, personen die wegens ernstige misdrijven veroordeeld zijn en profielnotities van Dow Jones, die mede afkomstig zijn van bronnen bij opsporingsdiensten en federale instanties.

“Het bevatte de identiteiten van overheidsfunctionarissen, politici en mensen met politieke invloed in elk deel van de wereld”, merkt Diachenko op. De onderzoeker waarschuwde Dow Jones, dat de gegevens op dezelfde dag nog beveiligde. Volgens het bedrijf was het datalek veroorzaakt door een misconfiguratie van een Amazon-server door een derde partij.