Coolblue haalt systeem offline wegens lekken klantgegevens
Webwinkel Coolblue heeft een systeem waarmee klanten hun bestellingen kunnen volgen offline gehaald, omdat het systeem klantgegevens lekte. Coolblue biedt een track-and-tracesysteem waarmee klanten online hun bestellingen kunnen volgen. Hiervoor moet de klant zijn postcode en huisnummer opgegeven.
Een gebruiker laat aan de Gazet van Antwerpen weten dat hij zijn bestelling op deze manier wilde volgen, maar dat die nog niet in het systeem stond. De man kreeg vervolgens wel de gegevens van andere mensen in zijn omgeving te zien. Coolblue stelt in een reactie dat het probleem in het systeem van het koeriersdienst Exchange Logistics aanwezig is en dat een klein deel van de bestellingen via deze koerier wordt verstuurd. In afwachting van een oplossing door de koeriersdienst is besloten het systeem offline te halen.
Complete windows shop, die tent. Die hebben gebruiksvriendelijkheid altijd hoog in het vaandel.
Verklaar je aub nader, wat heeft Coolblue met Windows te maken?
Ik zie dit als het zoveelste voorbeeld van het niet voldoende controleren/regelmatig controleren van hoe de partners waarmee je zaken doet te werk gaan. Daarbij loop je het risico zelf daardoor schade op te lopen.
Complete windows shop, die tent. Die hebben gebruiksvriendelijkheid altijd hoog in het vaandel.
Beste,
Ik was degene die het lek meldde en kan u bevestigen dat het minstens over honderden klanten ging.
Postcode en huisnummer was genoeg om van alle mensen, die in dezelfde gemeente woonden met hetzelfde huisnummer in het laatste jaar een bestelling hadden laten leveren door Exchange Logistics, de volgende gegevens te zien: Naam, achternaam, volledig adres, aangekochte goederen (met typenummer etc), leverdatum en uur, telefoonnummer, geschiedenis (notities) met betrekking tot de levering.
Essentially, was dit gewoon:
1. een database voor inbrekers, om te zien wat er in welk huis te rapen stond.
2. een database voor internetcriminelen die aan phishing over telefoon doen. (of met nog wat verder te zoeken andere dingen te weten te komen)
Ik deed enkel steek proeven met postcode huisnummer combinaties en kreeg telkens rond de 10 of zelfs meer resultaten. Wetende dat Cooblue één van de grotere webshops is in België, mogen we ervan uitgaan dat er gegevens voan honderden en zoniet duizenden mensen te grabbel stonden.
Bovendien niet eens via HTTPS, wat een hacker de kans geeft om de data probleemloos op de server te gaan "harvesten".
Vandaar dat ik het mijn plicht vond dit (nadat ik Coolblue >3 weken de kans had gegeven er iets aan te doen) openbaar te maken om de klanten te waarschuwen over de gevaren.
Bovendien niet eens via HTTPS, wat een hacker de kans geeft om de data probleemloos op de server te gaan "harvesten".
Hier heb je iets niet begrepen. https beveiligt helemaal niet tegen dit soort situaties!!!
Waar https wat tegen kan doen is dat iemand meeleest die op jouw verbinding mee kan kijken en die jouw eigen login op
jouw eigen account meekijkt.
Maar als de server gewoon informatie oplepelt naar anderen dan de vrager, dan doet https daar HELEMAAL NIETS tegen!
Beste,
Ik was degene die het lek meldde en kan u bevestigen dat het minstens over honderden klanten ging.
Postcode en huisnummer was genoeg om van alle mensen, die in dezelfde gemeente woonden met hetzelfde huisnummer in het laatste jaar een bestelling hadden laten leveren door Exchange Logistics, de volgende gegevens te zien: Naam, achternaam, volledig adres, aangekochte goederen (met typenummer etc), leverdatum en uur, telefoonnummer, geschiedenis (notities) met betrekking tot de levering.
Essentially, was dit gewoon:
1. een database voor inbrekers, om te zien wat er in welk huis te rapen stond.
2. een database voor internetcriminelen die aan phishing over telefoon doen. (of met nog wat verder te zoeken andere dingen te weten te komen)
Ik deed enkel steek proeven met postcode huisnummer combinaties en kreeg telkens rond de 10 of zelfs meer resultaten. Wetende dat Cooblue één van de grotere webshops is in België, mogen we ervan uitgaan dat er gegevens voan honderden en zoniet duizenden mensen te grabbel stonden.
Bovendien niet eens via HTTPS, wat een hacker de kans geeft om de data probleemloos op de server te gaan "harvesten".
Vandaar dat ik het mijn plicht vond dit (nadat ik Coolblue >3 weken de kans had gegeven er iets aan te doen) openbaar te maken om de klanten te waarschuwen over de gevaren.
Beste,
Bedankt voor jouw reactie. We betreuren het probleem bij Exchange Logistics bijzonder. Dat zorgde ervoor dat na het invoeren van een postcode soms een telefoonnummer zichtbaar was en/of de voorgaande bezorgingen door dezelfde koerier. Dit gold ook voor een klein deel van onze klanten, en dat had niet mogen voorkomen.
We zijn altijd ontzettend blij met tips van klanten, en nemen deze serieus. We balen er dan ook enorm van dat we het deze keer niet op tijd hebben kunnen oplossen. We hopen wel dat je ons ook een volgende keer weer weet te vinden. Mocht je dus nog iets geks opvallen, aarzel dan niet om contact met ons op te nemen.
Groeten,
Coolblue
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
