Veilingsite lekt persoonsgegevens in broncode (11/02/11)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Vakantieveilingen.nl.

Betrokkenen

De (op dat moment) hoogste bieder op een bepaalde vakantie.

Soort (persoons)gegevens

"Onder andere naam, adres, telefoonnummers, e-mailadres en geboortedatum [van de hoogste bieder] konden worden bekeken. Bovendien was het bankrekeningnummer van de hoogste bieder zichtbaar. [...] Ook werd een md5-hash van het wachtwoord van de bieder meegestuurd. Hoewel het wachtwoord niet als platte tekst was weergegeven, is het in bepaalde gevallen mogelijk om md5-hashes door middel van rainbow tables aan wachtwoorden te koppelen. Waarschijnlijk werd in dit geval een salt gebruikt om dat te voorkomen." (Tweakers.net, 11/02/11)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Een lezer van Tweakers.net, die anoniem wil blijven, ontdekte het beveiligingsprobleem op VakantieVeilingen.nl toen hij de broncode van veilingpagina's bekeek. Daar ontdekte hij een json-object dat niet alleen informatie over de veiling bevatte, maar ook veel persoonsgegevens over de hoogste bieder. [...] Het json-object dat de privégegevens bevatte, was bovendien door iedereen met een ajax-request op te vragen, stelt de ontdekker van het lek. Daarvoor was alleen het unieke id van een veiling nodig, die in de broncode kan worden gevonden. Door regelmatig via een ajax-request de gegevens van de op dat moment hoogste bieder op te vragen, zou relatief eenvoudig een database met persoonsgegevens kunnen worden aangelegd." (Tweakers.net, 11/02/11)

Respons van de organisatie

"De ontdekker van het beveiligingsprobleem zegt Emesa, het bedrijf achter de veilingwebsite, donderdagochtend op de hoogte te hebben gebracht. Emesa stelt zelf dat het pas donderdagavond op de hoogte is gebracht. Vrijdagmorgen rond een uur of 11 heeft het bedrijf het beveiligingsprobleem gedicht; het json-object bevat nu enkel nog informatie over de veiling. [...], chief technical officer bij Emesa, typeert het lek als een 'klein foutje'. Volgens hem is het huidige systeem van VakantieVeilingen.nl vorige maand live gegaan; het is niet duidelijk hoe lang de persoonsgegevens in de broncode hebben gestaan. Toen zijn bedrijf op de hoogte werd gebracht van het lek, heeft het ervoor gekozen om de website niet offline te halen: "Dat was een zakelijke afweging", aldus [...]. "We hebben commerciële afspraken met aanbieders." Het is onduidelijk waardoor het beveiligingslek heeft kunnen ontstaan. [...] Het bedrijf zegt de privacy van zijn klanten zeer serieus te nemen en gaat een audit van zijn code laten uitvoeren door een externe partij." (Tweakers.net, 11/02/11)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: VakantieVeilingen.nl zet privégegevens in html-broncode (11/02/11)

Zie verder:
Off-site link, opens in new window BoF: Datalek - vakantieveilingen.nl lekt hoogste bieders (11/02/11)
Off-site link, opens in new window Rejo Zenger: Veilingsite voor vakanties lekt hoogste bieders (11/02/11)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.