image

Coolblue haalt systeem offline wegens lekken klantgegevens

donderdag 30 juli 2015, 11:06 door Redactie, 8 reacties

Webwinkel Coolblue heeft een systeem waarmee klanten hun bestellingen kunnen volgen offline gehaald, omdat het systeem klantgegevens lekte. Coolblue biedt een track-and-tracesysteem waarmee klanten online hun bestellingen kunnen volgen. Hiervoor moet de klant zijn postcode en huisnummer opgegeven.

Een gebruiker laat aan de Gazet van Antwerpen weten dat hij zijn bestelling op deze manier wilde volgen, maar dat die nog niet in het systeem stond. De man kreeg vervolgens wel de gegevens van andere mensen in zijn omgeving te zien. Coolblue stelt in een reactie dat het probleem in het systeem van het koeriersdienst Exchange Logistics aanwezig is en dat een klein deel van de bestellingen via deze koerier wordt verstuurd. In afwachting van een oplossing door de koeriersdienst is besloten het systeem offline te halen.

Reacties (8)
30-07-2015, 11:54 door Anoniem
dit ging alleen op voor een klein aantal Belgische klanten volgens mij..
30-07-2015, 12:37 door Anoniem
Zo, is dat even gebruiksvriendelijk. "Uh, die gegevens kan ik niet vinden. Hier, heb je wat andere gegevens. Ook wel goed, toch?"

Complete windows shop, die tent. Die hebben gebruiksvriendelijkheid altijd hoog in het vaandel.
30-07-2015, 13:37 door Anoniem
Door Anoniem: Complete windows shop, die tent. Die hebben gebruiksvriendelijkheid altijd hoog in het vaandel.

Verklaar je aub nader, wat heeft Coolblue met Windows te maken?

Ik zie dit als het zoveelste voorbeeld van het niet voldoende controleren/regelmatig controleren van hoe de partners waarmee je zaken doet te werk gaan. Daarbij loop je het risico zelf daardoor schade op te lopen.
30-07-2015, 13:37 door karma4
Door Anoniem:
Complete windows shop, die tent. Die hebben gebruiksvriendelijkheid altijd hoog in het vaandel.
Dat soort flaters worden met elk cotentsysteem uitgehaald. Php apache Webservers maakt niet uit. Een kwestie van het ontwerp. De processen op server draaien onder 1 generiek account want dat is zo makkelijk.
31-07-2015, 08:13 door Anoniem
I
Door Anoniem: dit ging alleen op voor een klein aantal Belgische klanten volgens mij..

Beste,

Ik was degene die het lek meldde en kan u bevestigen dat het minstens over honderden klanten ging.
Postcode en huisnummer was genoeg om van alle mensen, die in dezelfde gemeente woonden met hetzelfde huisnummer in het laatste jaar een bestelling hadden laten leveren door Exchange Logistics, de volgende gegevens te zien: Naam, achternaam, volledig adres, aangekochte goederen (met typenummer etc), leverdatum en uur, telefoonnummer, geschiedenis (notities) met betrekking tot de levering.

Essentially, was dit gewoon:
1. een database voor inbrekers, om te zien wat er in welk huis te rapen stond.
2. een database voor internetcriminelen die aan phishing over telefoon doen. (of met nog wat verder te zoeken andere dingen te weten te komen)

Ik deed enkel steek proeven met postcode huisnummer combinaties en kreeg telkens rond de 10 of zelfs meer resultaten. Wetende dat Cooblue één van de grotere webshops is in België, mogen we ervan uitgaan dat er gegevens voan honderden en zoniet duizenden mensen te grabbel stonden.
Bovendien niet eens via HTTPS, wat een hacker de kans geeft om de data probleemloos op de server te gaan "harvesten".

Vandaar dat ik het mijn plicht vond dit (nadat ik Coolblue >3 weken de kans had gegeven er iets aan te doen) openbaar te maken om de klanten te waarschuwen over de gevaren.
31-07-2015, 09:51 door Anoniem
De meesten willen gemak, en dus krijgen we allemaal gemak. Na een panne klinkt er gepiep. Dat verstomt na een tijdje vanzelf. Want gemak gaat uiteindelijk boven alles.
31-07-2015, 13:39 door Anoniem
Door Anoniem:
Bovendien niet eens via HTTPS, wat een hacker de kans geeft om de data probleemloos op de server te gaan "harvesten".

Hier heb je iets niet begrepen. https beveiligt helemaal niet tegen dit soort situaties!!!
Waar https wat tegen kan doen is dat iemand meeleest die op jouw verbinding mee kan kijken en die jouw eigen login op
jouw eigen account meekijkt.
Maar als de server gewoon informatie oplepelt naar anderen dan de vrager, dan doet https daar HELEMAAL NIETS tegen!
31-07-2015, 17:28 door Coolblue
Door Anoniem: I
Door Anoniem: dit ging alleen op voor een klein aantal Belgische klanten volgens mij..

Beste,

Ik was degene die het lek meldde en kan u bevestigen dat het minstens over honderden klanten ging.
Postcode en huisnummer was genoeg om van alle mensen, die in dezelfde gemeente woonden met hetzelfde huisnummer in het laatste jaar een bestelling hadden laten leveren door Exchange Logistics, de volgende gegevens te zien: Naam, achternaam, volledig adres, aangekochte goederen (met typenummer etc), leverdatum en uur, telefoonnummer, geschiedenis (notities) met betrekking tot de levering.

Essentially, was dit gewoon:
1. een database voor inbrekers, om te zien wat er in welk huis te rapen stond.
2. een database voor internetcriminelen die aan phishing over telefoon doen. (of met nog wat verder te zoeken andere dingen te weten te komen)

Ik deed enkel steek proeven met postcode huisnummer combinaties en kreeg telkens rond de 10 of zelfs meer resultaten. Wetende dat Cooblue één van de grotere webshops is in België, mogen we ervan uitgaan dat er gegevens voan honderden en zoniet duizenden mensen te grabbel stonden.
Bovendien niet eens via HTTPS, wat een hacker de kans geeft om de data probleemloos op de server te gaan "harvesten".

Vandaar dat ik het mijn plicht vond dit (nadat ik Coolblue >3 weken de kans had gegeven er iets aan te doen) openbaar te maken om de klanten te waarschuwen over de gevaren.

Beste,

Bedankt voor jouw reactie. We betreuren het probleem bij Exchange Logistics bijzonder. Dat zorgde ervoor dat na het invoeren van een postcode soms een telefoonnummer zichtbaar was en/of de voorgaande bezorgingen door dezelfde koerier. Dit gold ook voor een klein deel van onze klanten, en dat had niet mogen voorkomen.

We zijn altijd ontzettend blij met tips van klanten, en nemen deze serieus. We balen er dan ook enorm van dat we het deze keer niet op tijd hebben kunnen oplossen. We hopen wel dat je ons ook een volgende keer weer weet te vinden. Mocht je dus nog iets geks opvallen, aarzel dan niet om contact met ons op te nemen.

Groeten,

Coolblue
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.