NAW-gegevens van klanten van Blokker blijken al maanden uit de site van het bedrijf te lekken. Het gaat om de bestelmodule van de webshop, zo zegt een tipgever van tv-programma Opgelicht?!.
Intussen heeft het bedrijf de Autoriteit Persoonsgegevens ingelicht. Na onderzoek blijkt dat het lek al sinds eind oktober 2020 bestond. Het kan gaan om data van wel ruim 720.000 bestellingen.
De configuratie van de webwinkel zou volgens de tipgever niet kloppen. Dat bleek ook het geval bij een poging van de redactie van het programma zelf. Volgens de redacteuren was het een koud kunstje om gegevens van de bestelling van iemand anders op te vragen.
Eenvoudige handeling
Door een eenvoudige handeling konden willekeurige gebruikers naar hartenlust grasduinen in bestelgegevens van andere klanten zonder dat daar specifieke technische kennis voor nodig is. Het was niet alleen mogelijk om precies te zien welke producten andere klanten bestelden. Ook de naam, adresgegevens en telefoonnummers van deze klanten waren makkelijk te vinden.
Dat was mogelijk doordat je, eenmaal ingelogd in de webshop van Blokker, het handmatig wijzigen van het unieke ordernummer in de adresbalk van je browser in principe al voldoende was om toegang te krijgen tot gegevens van anderen.
Uniek ordernummer
Dat iedere bestelling een uniek ordernummer toegewezen krijgt, is logisch. Administratief is dat een vereiste om de betaling correct te kunnen verwerken en om zicht op de voortgang van de bestelling te kunnen houden. Het is echter niet de bedoeling dat je zomaar op basis van het ordernummer van een ander in de systemen kunt snuffelen. En juist daar gaat het mis.
In de webshop bleek geen aanvullende vorm van beveiliging te zitten om te verifieren of het opgegeven ordernummer ook echt hoort bij het account waarmee de bestelling is geplaatst.
Op verzoek van Opgelicht?! dook ethisch hacker Sijmen Ruwhof in de materie. Volgens Ruwhof lijkt het erop dat het lek al bestaat sinds eind oktober 2020. Volgens Ruwhof is de webshop ooit wel aan een beveiligingstest onderworpen, maar wanneer dat was, is niet te zien. Vermoeden is dat er sinds oktober 2020 niet meer is gebeurd.
Reactie
Analyse wijst uit dat het gaat om de gegevens van ruim 720.000 unieke bestellingen, waaronder dus ook de NAW-gegevens. Intussen zijn de details van ieder individueel ordernummer niet meer te raadplegen zijn, maar volgens Ruwhof is wel duidelijk gaat dat de gegevens van honderdduizenden bestellingen die maandenlang open en bloot te raadplegen waren.
Opgelicht?! meldt het lek bij Blokker en vraagt om een reactie. Een woordvoerder van de winkelketen bevestigt in ieder geval dat het bedrijf in oktober 2020 overging naar een nieuwe website. Het bedrijf stuurt een schriftelijke reactie.
“Blokker vindt het vreselijk dat er door de overgang naar een nieuwe website een datalek is ontstaan. Wij hebben direct actie ondernomen om dit dezelfde dag nog op te lossen. Daarnaast hebben wij direct de Autoriteit Persoonsgegevens ingelicht. Wij vinden het heel erg dat dit heeft kunnen gebeuren en bieden onze klanten onze excuses aan. Uiteraard zullen wij er alles aan doen om dit in de toekomst te voorkomen.”
Lees ook:
- Autoriteit Persoonsgegevens: datalekmeldingen blijven stijgen
- Is onze data nog wel van ons?
