Gegevens 84.000 klanten webwinkel gelekt

Afbeelding: boeken aan de vismarkt van Wout | Licentie: CC BY-NC-SA 2.0

De gegevens van 84.000 deelnemers van een actie van een webwinkel waren publiek toegankelijk door een slechte beveiliging en verouderde software.

In het artikel Marketingsite Bol.com lekt gegevens 84.000 mensen bij Webwereld:

Door een fout bij een marketingbureau zijn gegevens van 84.000 deelnemers aan een marketingactie van Bol.com toegankelijk geweest. Het lek is meteen gedicht en de procedures zijn aangescherpt.

Het probleem speelde in een beheersomgeving bij het marketingbureau, waarin een ouder lek zat. Hierdoor waren de naam, het geslacht, de geboortedatum en het e-mailadres van deelnemers van een marketingcampagne toegankelijk. […]

Het bedrijf draaide een oudere versie van amfphp, een tool waarmee via de browser door data in een database kan worden gescrolled. Door het lek was het mogelijk om zonder aan te melden de gegevens te benaderen en ook een dump van alle data te maken.

Hierdoor waren ook de inloggegevens van beheerders toegankelijk, waaronder 7 accounts van medewerkers van Bol.com. De wachtwoorden waren wel gehashed opgeslagen, en omdat de wachtwoorden goed gekozen waren vielen ze niet te achterhalen. Verder waren drie databases met testgegevens toegankelijk.

Bol.com reageerde alert en geschrokken na de melding door Webwereld. Binnen tien minuten was de betreffende server offline en er is direct een onderzoek gestart om de vraag te beantwoorden waar dit is misgegaan.