Webwinkel wacht maanden met melding datalek

Afbeelding: Memory van Fred | Licentie: CC BY-NC-SA 2.0

De gegevens van klanten van replacedirect.nl zijn door gebrekkige beveiliging op straat komen te liggen. 

In een e-mail aan haar klanten meldt replacedirect.nl:

Wij willen u middels deze e-mail op de hoogte brengen van een inbraak in één van onze servers. Wij voelen ons verantwoordelijk om u als klant hierover zo goed mogelijk te informeren. We hebben samen met specialisten de noodzakelijke technische voorzieningen getroffen om dit soort inbraken door hackers te voorkomen. De precieze problemen en oorzaken van deze inbraak waren tot vanmorgen niet precies bekend bij ons. Hierdoor heeft het naar onze eigen mening te lang geduurd, voordat wij u hiervan op de hoogte konden stellen. Ook heeft de media moeten wachten op antwoord, omdat wij vinden dat het publiekelijk melden van een mogelijk lek in de juiste volgorde en volledigheid plaats moet vinden om meer schade te voorkomen.

Onbekende hackers hebben toegang verworven tot een aantal gebruikersgegevens in onze webwinkel. Het betreft hier naam, e-mailadres, gebruikersnaam en wachtwoord. Wij willen u er met klem op wijzen dat er geen betaalgegevens zijn verworven, omdat deze nergens door ons opgeslagen worden.

Desalniettemin zien wij natuurlijk de ernst van de inbraak onder ogen en hebben we als replacedirect.nl zijnde van alle bestaande gebruikersaccounts – ongeacht of hier wel of geen gegevens van zijn gehackt – het wachtwoord gereset. Dit nieuwe wachtwoord ontvangt u in een separate e-mail. Ook hebben we uit voorzorg deze e-mail verstuurd naar al onze klanten.

De gestolen gegevens zijn misbruikt voor phisingmails, zo blijkt uit een schermafdruk van de winkel.

In het opinieartikel Hackers kraken webwinkel, die zwijgt bij HP / de Tijd:

Maar vreemd genoeg heeft ReplaceDirect Koedijk nooit geïnformeerd dat ze waren gehacked of dat de data was gestolen. Als hij verhaal haalt, erkent het bedrijf in bedekte woorden het probleem. “Het is ons bekend dat in februari enkele klanten last hebben ondervonden van phishingmail. Deze phisingmail werd inderdaad verzonden uit naam van PayPal”, schrijft de onderneming. “Inmiddels laten wij door een extern beveiligingsbedrijf actief onze servers scannen en testen. Hieruit zijn een aantal punten naar voren gekomen die door onze IT afdeling zijn opgelost.”

MyMicro Group B.V., de onderneming waar ReplaceDirect onder valt, wist dus dat gegevens misbruikt werden (worden?) en informeerde de klanten niet.