D9D1E2

Datalekken in Nederland

2012

Lek in website supermarktketen geeft toegang tot e-mailadressen nieuwsbriefabonnees (12/03/06)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Detailresult Groep, Montani.

Verwerking

Lekkerdoen.nl en andere websites.

Betrokkenen

Abonnees op nieuwsbrieven.

Soort (persoons)gegevens

"Via sql-injectie kon beveiligingsonderzoeker […] naar eigen zeggen in ieder geval 150.000 en mogelijk zelfs circa 318.000 e-mailadressen benaderen, hoewel er dubbele e-mailadressen tussen kunnen zitten. Volgens de bouwer van de website, het Hoornse bedrijf Montani, waren het er hooguit 50.000. […] Het lek zat in een cms dat door Montani zelf was gebouwd; ook een andere website die dat cms gebruikte was daardoor kwetsbaar. Via die site konden circa 10.000 e-mailadressen worden benaderd." [Bron]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Via sql-injectie kon beveiligingsonderzoeker […] naar eigen zeggen in ieder geval 150.000 en mogelijk zelfs circa 318.000 e-mailadressen benaderen, hoewel er dubbele e-mailadressen tussen kunnen zitten. Volgens de bouwer van de website, het Hoornse bedrijf Montani, waren het er hooguit 50.000. Ook logingegevens van het adminpaneel waren te benaderen. De wachtwoorden waren gehasht als mysql323 en waren daardoor eenvoudig te achterhalen; het md5-algoritme is al enige tijd achterhaald en via rainbow tables kunnen veel hashes aan plaintext-wachtwoorden worden gekoppeld. Een van de achterhaalde accounts bleek bovendien van de websitebouwer. Dezelfde combinatie van gebruikersnaam en wachtwoord was ook gebruikt op andere websites van dezelfde maker, waardoor ook kon worden ingelogd op het Drupal-beheerpaneel van onder andere Fiets.com, Megategel.nl en Displaygigant.nl, maar ook op die van de site van bouwer Montani zelf. Daardoor konden onder andere bestanden worden geüpload. Volgens de onderzoeker was het waarschijnlijk mogelijk om PHP Shell te uploaden en wellicht via een exploit root-toegang tot de server te krijgen; hij heeft dat echter niet gedaan. Het lek zat in een cms dat door Montani zelf was gebouwd; ook een andere website die dat cms gebruikte was daardoor kwetsbaar. Via die site konden circa 10.000 e-mailadressen worden benaderd." [Bron]

Respons van de organisatie

"'Het probleem is direct na jullie melding onderzocht en verholpen', aldus de directeur van [Montani]. Het uniforme adminwachtwoord voor alle Montani-sites wordt vervangen door aparte wachtwoorden per site. Overigens zat er wel een paar uur tussen de melding en het dichten van het lek. Aanvankelijk zei [de directeur] aangifte te zullen doen tegen de beveiligingsonderzoeker, maar later gaf hij aan zich daar nog over te 'beraden'. 'Wat hij heeft gedaan is in principe strafbaar', aldus [de directeur]. De directeur geeft toe dat er een fout in de software zat, maar: 'Wanneer ergens een auto met draaiende motor staat, wil dat nog niet zeggen dat je ermee mag wegrijden.' […] Volgens een andere medewerker van Montani […] is Lekkerdoen.nl en andere websites zeven jaar geleden ontwikkeld en had de site eigenlijk al vervangen moeten zijn. 'Het was ontwikkeld met een minimaal budget en minimale controle', aldus [de medewerker]. 'Daar hebben we nu last van. De module die is gehackt was een haastklus. Zeg maar: gisteren bedacht, morgen online.' [De] ict-directeur van de Detailresult Groep, het bedrijf achter de supermarkten, zegt die informatie niet te kunnen bevestigen. Wel zegt hij het 'fijn' te vinden dat het lek aan het licht is gekomen en inmiddels is opgelost." [Bron]

Bronnen

Tweakers.net: Website Dirk, Bas en Digros laat e-mailadressen uitlekken (12/03/06)
[Open link in dit venster | Open link in nieuw venster]

.