Hackers hebben in usb-sticks van Hema waarbij 1GB gratis cloudopslag wordt aangeboden een ernstig lek ontdekt, waardoor het mogelijk was om bestanden van andere cloudgebruikers te downloaden. Daarnaast zijn mogelijk ook andere privégegevens van gebruikers op straat beland.
Het gaat dan om e-mailadres, naam, adresgegevens, telefoonnummer, wachtwoord, bestandsnamen en zoals gezegd de bestanden zelf. De problemen speelden bij de HEMA USB+ stick 8GB en 16GB, die inmiddels niet meer worden aangeboden. Hackers van de Haagse hackerspace Revspace vonden tal van problemen met zowel de software op de usb-sticks als de cloudopslagdienst zelf. Zo blijkt dat de software op de usb-sticks onversleuteld verbinding maakt met de server. Daarnaast is de programmatuur op de server die wordt gebruikt voor de database slecht geschreven en bijvoorbeeld vatbaar voor SQL-injecties, waarmee de database kan worden uitgelezen.
De bestanden die gebruikers in de cloud hebben geplaatst zijn daarnaast voor iedereen toegankelijk die het gebruikers-ID en de bestandsnaam kent. Bij het uploaden van de bestanden is de toegangscontrole (ACL) op "public-read" gezet. "Dat downloaden is kinderspel voor iedereen die weet hoe de HTTP-adressen zijn samengesteld", aldus de hackers. Daarnaast bleek dat ook nog een groot deel van de broncode van de server-side software online stond, met daarin een cruciaal wachtwoord waardoor de gehele Amazon S3 bucket kan worden uitgelezen. In deze bucket bevinden zich alle bestanden.
Hema werd in juli van dit jaar ingelicht. Vandaag besloten de hackers hun bevindingen te publiceren. Ze laten echter weten dat diverse beveiligingsproblemen bij de leverancier van Hema nog niet zijn opgelost. Gebruikers van de software krijgen het advies om hun bestanden uit het "online geheugen" te verwijderen. Dit moet echter wel via de Windows-tool worden gedaan. "Als je de bestanden verwijdert via de website, worden ze NIET daadwerkelijk verwijderd, ze blijven namelijk voor iedereen toegankelijk downloadbaar", zo waarschuwen de hackers. Ze benadrukken dat de software en cloudopslag jarenlang lek zijn geweest. "Ga ervan uit dat al je gegevens op straat liggen, en neem maatregelen om erger te voorkomen."
Deze posting is gelocked. Reageren is niet meer mogelijk.