D9D1E2

Datalekken in Nederland

2014

Adresgegevens, e-mailadressen en bestellingen klanten webshop toegankelijk via website (2014-08-05)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

Azerty.

Verwerking

Webshop, beheer-interface.

Betrokkenen

"[...] alle klanten [...]" [Tweakers, 2014-08-05]

Soort (persoons)gegevens

"Met behulp van de tool waren de adresgegevens en e-mailadressen van alle Azerty-klanten zichtbaar en was in te zien wat iemand had besteld. Het ging om de gegevens van ruim 750.000 bestellingen." [Tweakers, 2014-08-05]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"De gegevens waren toegankelijk via een beheer-interface die niet met een gebruikersnaam en wachtwoord was beveiligd, maar openbaar toegankelijk was. Een medewerker van Azerty verstuurde een link naar de beheer-interface, waarschijnlijk per ongeluk, naar Azerty-klant [...]. Via die link was alleen zijn eigen order te zien, maar het id in de url aan te passen waren ook andere orders zichtbaar. 'Ik had een geautomatiseerd scriptje kunnen maken dat al die bestelgegevens verzamelt', aldus [...]. Door met de url te spelen konden ook andere delen van de beheer-interface worden gevonden, zoals een pagina met statistieken waarop was te zien hoe vaak producten worden verkocht." [Tweakers, 2014-08-05]

Respons van de organisatie

"[De klant] had Azerty eerder op dinsdag op het probleem gewezen. 'Een medewerker van Azerty zei ervan op de hoogte te zijn en dat het probleem zou worden opgelost', aldus [de klant]. 'Maar hij bagatelliseerde het probleem.' Een paar uur nadat Azerty door Tweakers op het beveiligingsprobleem werd gewezen, werd de tool offline gehaald. Azerty-directeur [...] ontkent dat het bedrijf al op de hoogte was van het beveiligingsprobleem. 'We nemen dit soort problemen serieus. Als ik weet wie het probleem heeft genegeerd, ontsla ik die persoon', aldus [de directeur]. 'Maar dit betekent niet dat de gegevens van alle klanten op straat lagen.' [De directeur] ontkent dat het bedrijf het beveiligingsprobleem bagatelliseert. Hij kan niet aangeven waarom de tool niet met een gebruikersnaam en wachtwoord waren beveiligd. 'Maar ik wil graag benadrukken dat deze linkjes niet naar iedere klant werden verzonden.' Volgens de Azerty-directeur heeft het probleem maar korte tijd opengestaan, maar volgens tipgever [...] was het halverwege juni al mogelijk om de kwetsbare url te bezoeken." [Tweakers, 2014-08-05]

Nasleep van het incident

Nog onbekend.

Bronnen

2014-08-05

.