D9D1E2

Datalekken in Nederland

2012

Gegevens 84.000 deelnemers marketingactie toegankelijk door fout (12/07/02)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Bol.com.

Verwerking

Beheersomgeving van marketingbureau.

Betrokkenen

"[...] 84.000 deelnemers aan een marketingactie [...]" [WebWereld, 12/07/02]

"Het gaat om klanten die hebben meegedaan aan een actie eind vorig jaar met de naam Warm Welkom." [Nu.nl, 12/07/02]

Soort (persoons)gegevens

"[...] de naam, het geslacht, de geboortedatum en het e-mailadres [...] inloggegevens van beheerders [...] waaronder 7 accounts van medewerkers van Bol.com. De wachtwoorden waren wel gehashed opgeslagen, en omdat de wachtwoorden goed gekozen waren vielen ze niet te achterhalen. Verder waren drie databases met testgegevens toegankelijk." [WebWereld, 12/07/02]

Type incident

Inbreuk op de beveiliging en de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Het probleem speelde in een beheersomgeving bij het marketingbureau, waarin een ouder lek zat. Hierdoor waren de naam, het geslacht, de geboortedatum en het e-mailadres van deelnemers van een marketingcampagne toegankelijk. Het lek is ontdekt door [een hacker] die het meldde bij Webwereld. Het bedrijf draaide een oudere versie van amfphp, een tool waarmee via de browser door data in een database kan worden gescrolled. Door het lek was het mogelijk om zonder aan te melden de gegevens te benaderen en ook een dump van alle data te maken. Hierdoor waren ook de inloggegevens van beheerders toegankelijk, waaronder 7 accounts van medewerkers van Bol.com. De wachtwoorden waren wel gehashed opgeslagen, en omdat de wachtwoorden goed gekozen waren vielen ze niet te achterhalen. Verder waren drie databases met testgegevens toegankelijk." [WebWereld, 12/07/02]

"Het ging om een kwetsbaarheid voor sql-injectie." [Tweakers.net, 12/07/02]

Respons van de organisatie

"Bol.com reageerde alert en geschrokken na de melding door Webwereld. Binnen tien minuten was de betreffende server offline en er is direct een onderzoek gestart om de vraag te beantwoorden waar dit is misgegaan. Daarbij werkte het bedrijf samen met [de hacker] om te voorkomen dat zaken over het hoofd werden gezien. Inmiddels zijn de fouten verholpen. Ook worden gegevens nu versleuteld opgeslagen. Een mogelijk nieuw lek moet geen toegankelijke gegevens meer opleveren. 'Uit uitgebreid onderzoek blijkt dat buiten de tipgever niemand daadwerkelijk toegang tot de data heeft verkregen', vertelt [de] directeur van Bol.com tegen Webwereld. Hij is blij met de melding, maar zegt ongelukkig te zijn dat dit is gebeurd. 'De tipgever heeft deze gegevens niet misbruikt en ze inmiddels vernietigd.' 'Omdat het vertrouwen van onze klanten de basis vormt voor bol.com, hebben we de klanten die aan de betrokken marketingcampagne hebben deelgenomen inmiddels op de hoogte gesteld, ook al is het inmiddels vrijwel zeker dat de data niet zijn uitgelekt', vertelt [de directeur]. Hij erkent verantwoordelijk te zijn voor de gegevensverwerking bij een marketingactie en heeft daarom besloten strenger toezicht te gaan houden bij toeleveranciers. 'Hoewel het hierbij om systemen bij een ander bedrijf gaat, voelen we ons natuurlijk verantwoordelijk voor de veiligheid van de gegevens van onze klanten', zegt [de directeur]. 'Naar aanleiding van dit incident hebben we de controle sterk geïntensiveerd, om ook actief en inhoudelijk te kunnen controleren en te borgen dat de IT security aan de hoge Bol.com-standaard voldoet.' " [WebWereld, 12/07/02]

Bronnen

12/07/02

.