Website telecom provider lekt documenten met gespreksgeschiedenis (11/04/20)

On-page link, opens in this window Beoordeling
On-page link, opens in this window organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

organisatie

Lycamobile.

Betrokkenen

"[...] een onbekend aantal Nederlandse klanten"

Soort (persoons)gegevens

"Het is onduidelijk van hoeveel klanten de gespreksgeschiedenis zichtbaar was en hoe lang de gegevens toegankelijk waren. Zeker is dat het om ten minste 600 documenten met gespreksgeschiedenis gaat; mogelijk is dit aantal groter. In de documenten met gespreksgeschiedenis was te zien met welke nummers gebruikers hadden gebeld en gesms't. Ook de datum van gesprekken en sms-berichten was zichtbaar, evenals de gespreksduur. In de documenten werd het nummer van een desbetreffende gebruiker niet zichtbaar, maar dit was wel onderdeel van de bestandsnaam." (Tweakers.net, 11/04/20)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Lycamobile heeft documenten met de gespreksgeschiedenis van een onbekend aantal Nederlandse klanten onbeveiligd op het internet geplaatst. Daardoor was te zien met wie klanten hadden gebeld, op welk moment en voor hoe lang. De in het pdf-formaat opgeslagen documenten waren bedoeld voor Nederlandse Lycamobile-klanten die hun eigen gespreksgeschiedenis wilden bekijken. De documenten waren echter niet beveiligd opgeslagen, waardoor niet alleen de bewuste klant, maar ook elke andere internetgebruiker de gegevens kon inzien. [...] Het is niet bekend waardoor deze beveiligingsfout werd veroorzaakt." (Tweakers.net, 11/04/20)

"De rekeningen komen vrijwel allemaal uit de eerste dagen van februari van dit jaar. Sommige pdf’s zijn niet in te zien, maar Google’s snelle weergave geeft wel toegang tot de gegevens. Ook de weergave toont de data." (WebWereld, 11/04/20)

"Update 14.25 uur: Een lezer van Webwereld meldt dat de site van LycaMobile lekker is dan in eerste instantie blijkt. Ook de logbestanden van de telecomprovider zijn publiekelijk toegankelijk. 'Deze logs bevatten zogenaamde 'session ids', waarmee het mogelijk is privé-gegevens van een ingelogde gebruiker te achterhalen door middel van session hijacking', mailt de bron die studeert aan de TU Delft. 'Met wat kennis van zaken (en firebug + firecookie) is dit eenvoudig voor elkaar te krijgen.'" (WebWereld, 11/04/20)

Respons van de organisatie

"Lycamobile was niet beschikbaar voor een reactie, hoewel het bedrijf het beveiligingslek wel heeft weten te dichten." (Tweakers.net, 11/04/20)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Gespreksgeschiedenis Lycamobile-klanten ligt op straat (11/04/20)
Off-site link, opens in new window WebWereld: Belgegevens klanten lyca Mobile op straat - update (11/04/20)

Zie verder:
Off-site link, opens in new window BoF: Datalek - Lycamobile lekt verkeersgegevens (11/04/20)
Off-site link, opens in new window PrivacyNieuws: Gespreksgeschiedenis Lycamobile-klanten ligt op strat (11/04/20)
Off-site link, opens in new window Rejo Zenger: Lycamobile lekt verkeersgegevens (11/04/20)
Off-site link, opens in new window Security.nl: Lycamobile lekt verkeersgegevens klanten (11/04/20)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.