image

Brits bedrijf ontsnapt aan megaboete wegens SQL Injection-lek

woensdag 5 november 2014, 13:59 door Redactie, 4 reacties

Een Brits bedrijf dat een SQL Injection-lek op de website had waardoor de gegevens van duizenden klanten werden gestolen is vanwege de financiële situatie waarin het verkeert aan een megaboete ontsnapt. Dat laat de Britse toezichthouder de Information Commissioner’s Office (ICO) weten.

In 2013 werd een SQL Injection-lek in de hotelboekingssite Worldview Limited gebruikt om de gegevens van 3814 klanten te stelen, alsmede hun betaalkaartgegevens. Hoewel de betaalkaartgegevens versleuteld waren, was de decryptiesleutel bij de data opgeslagen. Hierdoor kon de aanvaller toegang tot de volledige betaalkaartgegevens krijgen, waaronder de driecijferige beveiligingscode voor het goedkeuren van betalingen.

Lek

De kwetsbaarheid was al sinds mei 2010 in de website aanwezig en werd tijdens een routinecontrole op 28 juni 2013 ontdekt. Aanvallers hadden toen al tien dagen lang toegang tot de gestolen gegevens. Een fout in de code van de website die de hoteltarieven ophaalde zorgde ervoor dat de invoer van gebruikers niet goed werd gecontroleerd. Hierdoor wist de aanvaller uiteindelijk de wachtwoordhashes van de WordPress-site stelen.

Het ging hier om de meest recente versie van WordPress. Vanwege operationele redenen was de WordPress-site op dezelfde server als de boekingsdienst geplaatst. Bij het aanmaken van één van de beheerdersaccounts was er tegen het bedrijfsbeleid in een zwak wachtwoord gebruikt. Daardoor kon de aanvaller de wachtwoordhash kraken en zo het zwakke wachtwoord achterhalen.

Volgens de ICO was het bedrijf nalatig in de beveiliging van klantgegevens en had daardoor de databeschermingswetgeving overtreden. Het bedrijf zou een boete van 96.000 euro krijgen, maar vanwege de financiële situatie van het bedrijf werd dit naar 9600 euro verlaagd.

Reacties (4)
05-11-2014, 14:42 door Anoniem
"Bij het aanmaken van één van de beheerdersaccounts was er tegen het bedrijfsbeleid in een zwak wachtwoord gebruikt."

Beleid moet je dan ook afdwingen met technische controls, zodat je geen zwak wachtwoord kan gebruiken. Al wijzen de meeste werkgevers naar de werknemer onder hem mom van awareness zonder zelf enige verantwoording te nemen.
05-11-2014, 14:50 door sjonniev - Bijgewerkt: 05-11-2014, 14:51
Nou, megaboete... Meer een kiloboete.
05-11-2014, 15:06 door Anoniem
Vanwege de financiële situatie kreeg het bedrijf geen boete!
Welke idioot heeft dat geregeld? De CTO van het bedrijf dien standrechtelijk ge------- heropgevoed te worden in Noord Korea en dat bedrijf dient gewoon opgeheven te worden. Persoonsgegevens lekken is maatschappelijk veel problematischer dan te hard rijden!

Voortaan: Ik wil boetes niet betalen vanwege mijn financiële situatie. Eens kijken hoe klantgerichte organisaties als die in Leeuwarden daar mee omgaan.
05-11-2014, 15:22 door Anoniem
<plechtig aan>Laat dit een waarchuwing zijn voor al die web administrators om dit vooral toch NOOIT meer te laten gebeuren </Mozes off>
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.