Een Brits online reisbureau heeft een boete van 190.000 euro gekregen vanwege een beveiligingslek in de website waardoor een aanvaller de gegevens van meer dan 1,1 miljoen creditcards wist te stelen. Het gaat om de website van Essential Travel (ETL), waar een aanvaller in 2012 inbrak.
ETL is een dochteronderneming van Think W3. Dit bedrijf ontwikkelde begin 2006 een parkeersysteem voor ETL om parkeertarieven en beschikbaarheid te beheren. Het systeem was alleen voor interne doeleinden bedoeld en was op dezelfde webserver geïnstalleerd waar ook de e-commerce applicatie van ETL op draaide. Om thuiswerken te faciliteren was het parkeersysteem via een inlogpagina online toegankelijk.
De inlogpagina waar werknemers konden inloggen bevatte echter een beveiligingslek in het authenticatiescript, waardoor de aanvaller toegang wist te krijgen. Think W3 had de functionaliteit van het parkeersysteem wel getest, maar de veiligheid en de code nooit gecontroleerd. De inlogpagina van het systeem was daardoor al sinds begin 2006 kwetsbaar.
Ook de veiligheid van de webserver was niet gecontroleerd. Zo vonden er geen penetratietests en scans op kwetsbaarheden plaats. De reden hiervoor was dat het bedrijf dacht dat de webserver niet direct via het internet toegankelijk was. Iets wat toch het geval bleek te zijn.
Eind december 2012 gebruikte de aanvaller SQL Injection om op de beheerdersinterface van het systeem in te loggen. Vervolgens plaatste hij verschillende webshells op de server, waardoor hij toegang tot alle aanwezige data kreeg. Dit maakte het mogelijk om de e-commerce applicatie van ETL te benaderen, waaronder de klantendatabase en bestanden die werden gebruikt voor het verwerken van betalingen.
Uit onderzoek kwam naar voren dat de aanvaller een bestand maakte dat met de database communiceerde en alle versleutelde klantgegevens opvroeg en liet ontsleutelen. Hiervoor gebruikte de aanvaller de decryptiesleutel die volgens de Britse Information Commissioner's Office (ICO) niet veilig was opgeslagen. De aanvaller kon zodoende creditcardgegevens alsmede klantgegevens stelen.
Van de 1,1 miljoen creditcards waarvan de gegevens gestolen werden waren er 733.000 verlopen en 430.000 nog actueel. De creditcardgegevens waren sinds 2006 niet meer van de server verwijderd, tot ergernis van de ICO. De aanval op de server werd op 24 december 2012 tijdens een routinecontrole ontdekt, waarop Think W3 maatregelen nam om verdere schade te beperken.
Volgens de ICO moeten bedrijven gepaste technische maatregelen nemen om persoonlijke gegevens te beschermen. Iets wat het reisbureau heeft nagelaten. Volgens Stephen Eckersley van de ICO is onwetendheid bij bedrijven die data verwerken geen excuus. "Datacontrollers moeten actieve maatregelen nemen om ervoor te zorgen dat de persoonsgegevens waarvoor ze verantwoordelijk zijn worden beschermd, of ze krijgen met maatregelen en de bijbehorende imagoschade te maken."
Deze posting is gelocked. Reageren is niet meer mogelijk.