image

Samsung lekt klantgegevens via gerecyclede trackingnummers

donderdag 16 maart 2017, 15:36 door Redactie, 0 reacties

Gegevens van mensen die via de online webwinkel van Samsung producten kopen zijn voor anderen toegankelijk, zo ontdekte security-engineer Matt Metzger. Hij had bij Samsung een tv besteld en ontving een trackinglink van transportbedrijf AGS. Het bedrijf dat voor Samsung televisies aflevert.

De link liet echter de bestelling van iemand anders zien. Metzger dacht dat er een administratieve fout was gemaakt en gaf er verder geen aandacht aan. Twee dagen later bekeek hij de trackinglink opnieuw en zag twee bestellingen staan, die van hemzelf en iemand anders. Hij nam contact op met Samsung een kreeg te horen dat AGS elk jaar trackingnummers recyclet. Beide bestellingen waren echter in dezelfde week gedaan. Daarnaast wordt er volgens de engineer niet van willekeurige trackinglinks gebruikgemaakt maar opeenvolgende. Via een script zou het zodoende mogelijk zijn om de gegevens van alle klanten die bij Samsung iets hebben besteld te verzamelen.

Nadat de televisie was geleverd hoopte Metzger dat het probleem was verdwenen, maar het tegenovergestelde bleek het geval te zijn. De trackinglink bevatte naast de bestelgegevens nu ook een tiff-bestand. Het ging om een gescande kopie van het vervoerbiljet met naam, adresgegevens en handtekening. Google heeft een aantal van de trackinglinks geïndexeerd. Metzger merkt op dat zelfs als Google de zoekresultaten zou verwijderen, AGS op de eigen website een zoekoptie biedt om de links te zoeken.

"Er is geen twijfel over mogelijk, informatie in dit systeem is niet geheim. Links worden direct naar klanten gestuurd, geïndexeerd door Google en er is een open formulier op de website dat zoekopdrachten uitvoert", zo laat hij in een artikel op Medium weten. Metzger benaderde Samsung dat zijn privégegevens via de website van AGS worden gedeeld. Samsung wees hem echter door naar AGS. "Dat gaat niet gebeuren. Ik vertrouwde Samsung met mijn data en ik hou hen verantwoordelijk voor het beveiligen ervan. Als een zakenpartner van Samsung die informatie lekt, is het aan Samsung om dat op te lossen", merkt hij op. Metzger waarschuwde Samsung vier maanden geleden, maar zijn informatie is nog steeds online te vinden.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.