Datalek Blokker. Klantgegevens maandenlang op straat.

Black Tiger

Addicted Member
Administrator
Moderator
Lid sinds
8 feb 2001
Berichten
34.774
Waarderingsscore
998
Punten
113
Leeftijd
60
Locatie
State Penitentiary
Winkelketen Blokker heeft maandenlang een datalek gehad, waardoor de adressen en bestellingen van honderdduizenden klanten voor iedereen te zien waren. Blokker bevestigt het lek na eerdere berichtgeving van tv-programma Opgelicht?!. ,,Wij vinden het heel erg dat dit heeft kunnen gebeuren’’, klinkt het.

Eind oktober is de website van Blokker vernieuwd en het lek is waarschijnlijk toen ontstaan. Het was daarna eenvoudig om de bestellingen, de naam, het adres en het telefoonnummer van klanten in te zien. Volgens Opgelicht?! ging het om de gegevens van ruim 720.000 bestellingen.

Wie even ‘rondsnuffelde’ kon, zonder ingewikkelde scripts of technische vaardigheden, achter de diverse klantgegevens komen, meldt het programma op zijn website. Wie ingelogd was kon simpelweg het unieke ordernummer aanpassen om de persoonsgegevens in te zien.

‘Daarmee ligt identiteitsfraude op de loer, en deze informatie is daarnaast natuurlijk ook interessant voor kwaadwillenden in verband met mogelijke pogingen tot oplichting’, schrijft Opgelicht?!. Ethisch hacker Sijmen Ruwhof spreekt van ‘een datalek waarin honderdduizenden persoonsgegevens te downloaden waren.’

,,Niet alleen een ernstig datalek, maar vanwege de eenvoud ook knullig’’, aldus Ruwhof. ,,Het is zelfs voor een amateur makkelijk te vinden en mede daarom ook makkelijk te misbruiken. Een hacker kan binnen een dag alle data van ruim 720.000 unieke bestellingen zó binnenhalen.’’ Het lek valt bovendien ‘simpel zijn op te lossen’.


Het winkelbedrijf is door Opgelicht?! op het lek gewezen, maar doet geen mededelingen over het aantal klanten dat mogelijk is getroffen. “We hebben vooralsnog geen misbruik van gegevens geconstateerd”, aldus een woordvoerster. Ze benadrukt dat er in ieder geval geen bank- of betalingsgegevens van klanten in te zien waren.

Blokker heeft wel aanpassingen doorgevoerd om het datalek te dichten en heeft melding gedaan bij de Autoriteit Persoonsgegevens. ,,Blokker vindt het vreselijk dat er door de overgang naar een nieuwe website een datalek is ontstaan.’’ Het bedrijf biedt klanten excuses aan zegt er in de toekomst alles aan te doen lekken te voorkomen.
 
Wie ingelogd was kon simpelweg het unieke ordernummer aanpassen om de persoonsgegevens in te zien.
De overheid had vorig jaar ook al een soortgelijk lek, door 't aanpassen van het ID in de URL kon je gegevens van andere gebruikers inzien.

 
Dat klopt, het gebeurt vaker daarom dat ik het nogal vreemd vind dat ontwikkelaars van met name de toch wel wat grotere software daar geen rekening mee houden. Het euvel ontstond na de software update in oktober.
Echt vreemd dat men dit gewoon niet regelmatig eens test voor de zekerheid.
 
Precies, met name bij overheidssoftware en diensten zou een allround pentest een standaard procedure moeten zijn. Nee, de Nederlandse overheid en het parlement maakt zich liever druk over de uitfasering van de beveiligingssoftware van Kaspersky, want Rusland. ;)
 



Hosting Fun

Advertenties

Terug
Bovenaan Onderaan