URL-manipulatie op autobranche-reviewsite geeft toegang tot gebruikersgegevens en gegevens bedrijven (11/10/26)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

BOVAG.

"De subsite in kwestie is geleverd door KlantenVertellen.nl, die review- en andere contactmodules voor bedrijfswebsites levert. KlantenVertellen huurt op zijn beurt het bedrijf FullWebService in voor het programmeerwerk." (WebWereld, 11/10/26)

Betrokkenen

"[...] alle bezoekers die zich op de site geregistreerd en gereageerd hebben." (WebWereld, 11/10/26)

Soort (persoons)gegevens

"Uit de 'open' database konden namen, e-mailadressen en wachtwoorden (wel versleuteld) van alle BOVAG-bedrijven lekken, maar ook persoonsgegevens en e-mailadressen van alle bezoekers die zich op de site geregistreerd en gereageerd hebben. Ook kunnen kwaadwillenden valse reviews indienen met een willekeurig account van een ander." (WebWereld, 11/10/26)

Type incident

Inbreuk op de vertrouwelijkheid en potentieel ook op de integriteit van de verwerkte gegevens.

Omschrijving van het incident

"Het gedeelte van de BOVAG site met beoordelingen van alle autoverkopers en garages is 'zo lek als een mandje', tipt een anonieme programmeur aan Webwereld. Door wat url's te manipuleren is de hele database van de subsite review.bovag.nl te benaderen.[...] 'Er wordt in de applicatie *geen enkele* validatie gedaan op user input. SQL foutmeldingen worden open en bloot getoond op het scherm, en zonder veel moeite is de hele database te benaderen', meldt de tipgever. Webwereld heeft de verschillende kwetsbaarheden kunnen bevestigen." (WebWereld, 11/10/26)

Respons van de organisatie

"Het lek is dinsdag na melding gedicht. [...] Alle betrokken partijen zijn op de hoogte gesteld. De gaten zijn inmiddels dichtgetimmerd. 'We nemen dit bloedserieus en hebben meteen actie ondernomen. Dit raakt toch de kern van zo'n tool. Ze hebben de problemen bevestigd en het lek is inmiddels gedicht', reageert [een] woordvoerder van BOVAG. BOVAG meldt opgelucht dat er geen aanwijzingen zijn dat de database op een kwaadaardige manier is gemanipuleerd en dankt de tipgever voor de verantwoordelijke manier waarop het lek is aangemeld. 'We zouden de tipgever, die naar ik begrijp anoniem wil blijven, graag op een of andere manier willen belonen', aldus [de woordvoerder]. Ook prijst hij de Lektober-actie: 'Wij vinden het goed en nuttig dat jullie dit doen.'" (WebWereld, 11/10/26)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek20 - database BOVAG wagenwijd open (11/10/26)

Zie verder:
Off-site link, opens in new window BoF: Datalek - BOVAG database staat open (11/11/04)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.