Een Brits bedrijf dat een SQL Injection-lek op de website had waardoor de gegevens van duizenden klanten werden gestolen is vanwege de financiële situatie waarin het verkeert aan een megaboete ontsnapt. Dat laat de Britse toezichthouder de Information Commissioner’s Office (ICO) weten.

In 2013 werd een SQL Injection-lek in de hotelboekingssite Worldview Limited gebruikt om de gegevens van 3814 klanten te stelen, alsmede hun betaalkaartgegevens. Hoewel de betaalkaartgegevens versleuteld waren, was de decryptiesleutel bij de data opgeslagen. Hierdoor kon de aanvaller toegang tot de volledige betaalkaartgegevens krijgen, waaronder de driecijferige beveiligingscode voor het goedkeuren van betalingen.

Lek

De kwetsbaarheid was al sinds mei 2010 in de website aanwezig en werd tijdens een routinecontrole op 28 juni 2013 ontdekt. Aanvallers hadden toen al tien dagen lang toegang tot de gestolen gegevens. Een fout in de code van de website die de hoteltarieven ophaalde zorgde ervoor dat de invoer van gebruikers niet goed werd gecontroleerd. Hierdoor wist de aanvaller uiteindelijk de wachtwoordhashes van de WordPress-site stelen.

Het ging hier om de meest recente versie van WordPress. Vanwege operationele redenen was de WordPress-site op dezelfde server als de boekingsdienst geplaatst. Bij het aanmaken van één van de beheerdersaccounts was er tegen het bedrijfsbeleid in een zwak wachtwoord gebruikt. Daardoor kon de aanvaller de wachtwoordhash kraken en zo het zwakke wachtwoord achterhalen.

Volgens de ICO was het bedrijf nalatig in de beveiliging van klantgegevens en had daardoor de databeschermingswetgeving overtreden. Het bedrijf zou een boete van 96.000 euro krijgen, maar vanwege de financiële situatie van het bedrijf werd dit naar 9600 euro verlaagd.