Brits bedrijf ontsnapt aan megaboete wegens SQL Injection-lek
Een Brits bedrijf dat een SQL Injection-lek op de website had waardoor de gegevens van duizenden klanten werden gestolen is vanwege de financiële situatie waarin het verkeert aan een megaboete ontsnapt. Dat laat de Britse toezichthouder de Information Commissioner’s Office (ICO) weten.
In 2013 werd een SQL Injection-lek in de hotelboekingssite Worldview Limited gebruikt om de gegevens van 3814 klanten te stelen, alsmede hun betaalkaartgegevens. Hoewel de betaalkaartgegevens versleuteld waren, was de decryptiesleutel bij de data opgeslagen. Hierdoor kon de aanvaller toegang tot de volledige betaalkaartgegevens krijgen, waaronder de driecijferige beveiligingscode voor het goedkeuren van betalingen.
Lek
De kwetsbaarheid was al sinds mei 2010 in de website aanwezig en werd tijdens een routinecontrole op 28 juni 2013 ontdekt. Aanvallers hadden toen al tien dagen lang toegang tot de gestolen gegevens. Een fout in de code van de website die de hoteltarieven ophaalde zorgde ervoor dat de invoer van gebruikers niet goed werd gecontroleerd. Hierdoor wist de aanvaller uiteindelijk de wachtwoordhashes van de WordPress-site stelen.
Het ging hier om de meest recente versie van WordPress. Vanwege operationele redenen was de WordPress-site op dezelfde server als de boekingsdienst geplaatst. Bij het aanmaken van één van de beheerdersaccounts was er tegen het bedrijfsbeleid in een zwak wachtwoord gebruikt. Daardoor kon de aanvaller de wachtwoordhash kraken en zo het zwakke wachtwoord achterhalen.
Volgens de ICO was het bedrijf nalatig in de beveiliging van klantgegevens en had daardoor de databeschermingswetgeving overtreden. Het bedrijf zou een boete van 96.000 euro krijgen, maar vanwege de financiële situatie van het bedrijf werd dit naar 9600 euro verlaagd.
Beleid moet je dan ook afdwingen met technische controls, zodat je geen zwak wachtwoord kan gebruiken. Al wijzen de meeste werkgevers naar de werknemer onder hem mom van awareness zonder zelf enige verantwoording te nemen.
Welke idioot heeft dat geregeld? De CTO van het bedrijf dien standrechtelijk ge------- heropgevoed te worden in Noord Korea en dat bedrijf dient gewoon opgeheven te worden. Persoonsgegevens lekken is maatschappelijk veel problematischer dan te hard rijden!
Voortaan: Ik wil boetes niet betalen vanwege mijn financiële situatie. Eens kijken hoe klantgerichte organisaties als die in Leeuwarden daar mee omgaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
