Het Amerikaanse compliancebedrijf Vanta heeft bevestigd dat een softwarefout ertoe heeft geleid dat privégegevens van sommige klanten per ongeluk zichtbaar waren voor andere klanten van het platform. De gegevenslek werd niet veroorzaakt door een cyberaanval, maar was het gevolg van een wijziging in de productcode. Dit meldde Vanta aan technologieplatform TechCrunch.
Klantgegevens
Vanta, opgericht in 2018, helpt bedrijven wereldwijd met het automatiseren van hun beveiligings- en complianceprocessen. Volgens het bedrijf werd het probleem ontdekt op 26 mei en zal de hersteloperatie naar verwachting voltooid zijn op 4 juni.
Volgens Jeremy Epling, Chief Product Officer van Vanta, ging het om “een deel van de gegevens uit minder dan 20 procent van onze externe integraties” die per abuis toegankelijk waren voor andere klanten. Minder dan vier procent van de klanten werd daadwerkelijk getroffen, wat neerkomt op honderden bedrijven. Vanta telt momenteel meer dan 10.000 klanten wereldwijd.
Waarschuwing
Een van de getroffen klanten verklaarde tegenover TechCrunch dat Vanta hen had gewaarschuwd voor de blootstelling van klantgegevens. Daarbij zou het gaan om informatie die ‘gebruikelijk bestaat uit werknemersnamen, functies en configuratiegegevens van bepaalde tools’, waaronder de inzet van multi-factor authenticatie. De klant verklaarde dat zowel gegevens uit hun eigen omgeving naar andere Vanta-klanten zijn doorgestroomd, als andersom.
Vanta-woordvoerder Erin Cheng weigerde aan TechCrunch specifieke details te geven over welke soorten klantgegevens precies zijn blootgesteld, of er mogelijk ook gegevens van Vanta-medewerkers zijn gelekt.
Zorgvuldige codewijzigingen
Het bedrijf heeft inmiddels maatregelen genomen om het probleem te verhelpen en stelt dat alle getroffen klanten persoonlijk zijn geïnformeerd. De fout komt op een gevoelig moment: in juli 2024 haalde Vanta nog 150 miljoen dollar op in een Series C-financieringsronde. In totaal heeft het bedrijf inmiddels ruim 350 miljoen dollar aan investeringen ontvangen. De kwestie benadrukt het belang van zorgvuldige codewijzigingen binnen platforms die gevoelige klantgegevens beheren.