De website van het drinkwaterbedrijf Oasen uit Gouda heeft voor een onbekende tijd klantgegevens gelekt. Een beveiligingsonderzoeker genaamd 'häcker' wist via een link van de iDeal-betaling de ID's in de URL aan te passen. Deze ID's waren gecodeerd met Base64, waardoor het eenvoudig was om betalingsverzoeken voor andere klanten in te zien, zo laat de onderzoeker tegenover Security.nl weten.

Na het aanpassen van de ID's kwamen de adresgegevens van de klant in beeld en het factuurbedrag dat betaald moest worden. Nadat de iDeal-betaling werd geopend en direct weer werd afgebroken zonder te betalen kwam ook het accountnummer van de betreffende klant in beeld. Het accountnummer stond in het referentiekenmerk dat via de iDeal-cancelpagina werd teruggekoppeld.

Lek
De website van Oasen bood de mogelijkheid om in te loggen met de combinatie postcode, huisnummer en accountnummer, in het geval de klant zijn toegangscode was kwijtgeraakt. Voor deze alternatieve inlogmethode was alle informatie al bekend via het bovengenoemde lek. Na een succesvolle login, kwamen de privégegevens van de klant in beeld, zoals naam, adres, e-mailadres en telefoonnummer.

Via het persoonlijke account en de verkregen privégegevens konden onder andere meterstanden en verhuizingen worden ingevoerd voor de klant. Oasen heeft inmiddels zelf ook een artikel gepubliceerd waarin het bedrijf uitlegt wat het probleem was.

"We hadden vanaf de melding van de anonieme hacker vier weken nodig voor onderzoek en een oplossing. We lieten onze softwareleverancier de website aanpassen zodat de beveiliging nog sterker is. Vervolgens lieten we een gespecialiseerd bedrijf de bewuste modules en de rest van de website testen. Hieruit bleek dat de aanpassingen effect hadden. Het is niet meer mogelijk om gegevens van een andere klant op te vragen."