D9D1E2

Datalekken in Nederland

2012

Beveiligingsproblemen bij webwinkels in onderzoek nieuwsprogramma (12/05/17)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Perry Sport, Winkel Slim en anderen.

Verwerking

Webwinkel.

Betrokkenen

"[...] bij Perry Sport [...] ruim 95.000 klantgegevens" [Bron]

Soort (persoons)gegevens

"[...] klantgegevens [...] In enkele gevallen was er toegang tot namen, adressen en wachtwoorden. Die wachtwoorden waren weliswaar gecodeerd, maar het decoderen nam slechts minuten in beslag." [Bron]

Type incident

Inbreuk op de beveiliging van de verwerkte gegevens.

Beschrijving van het incident

"RTL Nieuws liet een veiligheidsexpert, gespecialiseerd in webapplicaties, de veiligheid testen van 25 willekeurige webshops, klein en groot, van verschillende systemen en actief in verschillende branches. Zo kreeg de expert bij Perry Sport de toegang tot ruim 95.000 klantgegevens en bleken meer winkels die een softwarepakket bij WinkelSlim hadden gekocht, lekken te vertonen. [...] Vijf winkels hadden grote lekken, nog eens zes hadden kleinere onregelmatigheden. In enkele gevallen was er toegang tot namen, adressen en wachtwoorden. Die wachtwoorden waren weliswaar gecodeerd, maar het decoderen nam slechts minuten in beslag. [...] Webwinkels met het Thuiswinkel Waarborg worden onderworpen aan een veiligheidscheck. Dat lijkt te helpen; bij de meeste webwinkels met het keurmerk was niets aan de hand of werden slechts kleine onregelmatigheden gevonden. [Bron]

"Meest schokkend was de constatering dat veel lekken bleken te worden veroorzaakt door ondeugdelijke software van het bedrijf WinkelSlim. Het bedrijf verweerde zich met de opmerking dat de kwetsbaarheid van de websites die met zijn software gebouwd zijn vaak te wijten is aan het feit dat er met een oude versie van het pakket gewerkt wordt. Maar het bedrijf moest toegeven dat ook de jongste versie kwetsbaar is. Om precies te zijn voor SQL Injection, een gevolg van slecht programmeren waar al jaren voor gewaarschuwd wordt. WinkelSlim heeft in reactie op de uitzending wel toegezegd dat het dat probleem zal verhelpen." [Bron]

Respons van de organisatie

"[Perry Sport:] Direct na het vernemen van jullie bericht hebben wij derhalve alles in werking gesteld om te traceren op welke wijze deze gegevens voor onbevoegden toegankelijk waren. Wij zullen uiteraard alle maatregelen treffen die nodig zijn om dit verder te voorkomen. [...] Uit uw berichten en onze bevindingen tot op dit moment blijkt dat het in onderliggend geval om NAW-gegevens gaat. Gegevens als rekeningnummers en creditcardnummers van onze klanten zijn niet inzichtelijk. Dat wil niet zeggen dat wij hierdoor lichter over deze kwestie denken of handelen." [Bron]

"[WinkelSlim:] Bij een snelle controle bleek dat de onderzochte winkel onze oudste versie had. Enkele winkels draaien nog op deze versie waarbij ook gedeelde databases worden gebruikt. Dit verklaart de verschillende databases welke getoond werden na de SQL-injection. In de nieuwere versies zijn alle winkels volledig zelfstandig. Los hiervan heeft u ons gewezen op een fout welke in al onze versies terug komt waardoor deze SQL-injection mogelijk is. Deze fout zal zo spoedig mogelijk worden verholpen in al onze versies waarna we verwachten weer veilige webwinkels te leveren. " [Bron]

Bronnen

12/05/17

12/05/18

12/05/23

.