D9D1E2

Datalekken in Nederland

2012

Website drinkwaterbedrijf lekt klantgegevens (2012/09/25)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Oasen, Gouda.

Verwerking

iDeal-betaling op website.

Betrokkenen

Klanten.

Soort (persoons)gegevens

"[...] het factuurbedrag dat betaald moest worden [...] privégegevens van de klant [...] zoals naam, adres, e-mailadres en telefoonnummer." [Security.nl, 2012/09/25]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Een beveiligingsonderzoeker [...] wist via een link van de iDeal-betaling de ID's in de URL aan te passen. Deze ID's waren gecodeerd met Base64, waardoor het eenvoudig was om betalingsverzoeken voor andere klanten in te zien, zo laat de onderzoeker tegenover Security.nl weten. Na het aanpassen van de ID's kwamen de adresgegevens van de klant in beeld en het factuurbedrag dat betaald moest worden. Nadat de iDeal-betaling werd geopend en direct weer werd afgebroken zonder te betalen kwam ook het accountnummer van de betreffende klant in beeld. Het accountnummer stond in het referentiekenmerk dat via de iDeal-cancelpagina werd teruggekoppeld. De website van Oasen bood de mogelijkheid om in te loggen met de combinatie postcode, huisnummer en accountnummer, in het geval de klant zijn toegangscode was kwijtgeraakt. Voor deze alternatieve inlogmethode was alle informatie al bekend via het bovengenoemde lek. Na een succesvolle login, kwamen de privégegevens van de klant in beeld, zoals naam, adres, e-mailadres en telefoonnummer. Via het persoonlijke account en de verkregen privégegevens konden onder andere meterstanden en verhuizingen worden ingevoerd voor de klant." [Security.nl, 2012/09/25]

Respons van de organisatie

"Oasen heeft inmiddels zelf ook een artikel gepubliceerd waarin het bedrijf uitlegt wat het probleem was. 'We hadden vanaf de melding van de anonieme hacker vier weken nodig voor onderzoek en een oplossing. We lieten onze softwareleverancier de website aanpassen zodat de beveiliging nog sterker is. Vervolgens lieten we een gespecialiseerd bedrijf de bewuste modules en de rest van de website testen. Hieruit bleek dat de aanpassingen effect hadden. Het is niet meer mogelijk om gegevens van een andere klant op te vragen.'" [Security.nl, 2012/09/25]

"Volgens woordvoerder [...] van Oasen is er in de praktijk geen misbruik gemaakt van het beveiligingsprobleem. 'Het is echt heel erg lastig om er wat uit te krijgen', aldus [de woordvoerder]. Volgens hem was de sessie-id niet oplopend, zodat een brute force-aanval noodzakelijk was om de gegevens te pakken te krijgen. Inmiddels wordt 256bits-encryptie gebruikt voor de beveiliging van de sleutel-id's." [Tweakers.net, 2012/09/25]

Bronnen

2012/09/25

.