Canadese financiële dienstverlener getroffen door datalek

Een grote hoeveelheid gevoelige informatie van de Canadese financiële dienstverlener Scotiabank is uitgelekt op internet. De informatie was onbedoeld toegankelijk via GitHub repositories van het bedrijf.

Het lek is ontdekt door IT-professional Jason Coulls, die The Register informeerde. Deze website heeft Scotiabank op de hoogte heeft gesteld. Het bedrijf heeft inmiddels maatregelen genomen en de GitHub repositories in kwestie offline gehaald. Onder de uitgelekte informatie bevinden zich onder meer blauwdrukken voor software, toegangscodes voor een buitenlandse wisselkoerssysteem, de broncode van mobiele applicaties gericht op Centraal- en Zuid-Amerika en inloggegevens voor diensten en databases.

Felle kritiek

Coulls uit tegenover The Register felle kritiek op Scotiabank. "In mijn ervaring is deze Muppet Show beveiliging perfect normaal voor Scotiabank, aangezien zij gemiddeld eens per drie weken informatie lekken", aldus Coulls. "Scotiabank heeft AS/400 en DB2 instances waar inloggegevens en informatie over verbindingen publiek is. Zij lekken regelmatig broncode voor van alles, van klantgerichte mobiele apps tot server-gebaseerde REST API's. Zij lekken ook klantendata. Indien zij claimen dat security een topprioriteit is, wil ik niet weten hoe zij dingen met een lage prioriteit behandelen."

The Register meldt naast Scotiabank ook GitHub, betaalverwerkers en creditcardmaatschappijen op de hoogte te hebben gesteld van het lek. Het lek wordt onderzocht door het security team van Scotiabank. Het bedrijf wil verder niet reageren op het lek.