Een Britse webwinkel heeft een boete van omgerekend 65.000 euro gekregen omdat het klantgegevens die drie jaar geleden werden gestolen niet goed had beveiligd. De website van Construction Materials Online (CMO), een online aanbieder van bouwmaterialen, was kwetsbaar voor sql-injection.
Sql-injection is een probleem dat al sinds de vorige eeuw bekend is, maar nog steeds bij veel websites wordt aangetroffen omdat webdevelopers onveilig programmeren en organisaties hun websites niet laten testen. Via sql-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen.
In het geval van CMO wist een aanvaller via sql-injection de onversleutelde gegevens van creditcardhouders te stelen, waaronder namen, adresgegevens, rekeningnummers en beveiligingscodes. Onderzoek door de Britse databeschermingsautoriteit ICO wees uit dat CMO de veiligheid van de website niet regelmatig liet testen, waardoor het beveiligingslek onopgemerkt bleef. Daarnaast waren de gebruikte wachtwoorden niet sterk genoeg om een bruteforce-aanval te weerstaan.
"Het zijn niet alleen grote, bekende bedrijven die met cybersecurity rekening moeten houden. Cybersecurity moet voor alle bedrijven een topprioriteit zijn, ongeacht hun omvang", zegt Steve Eckersley, hoofd handhaving van de ICO. "Deze boete is een waarschuwing voor andere mkb-bedrijven dat de veiligheid van de persoonlijke informatie van hun klanten op de eerste plek moet komen."
Deze posting is gelocked. Reageren is niet meer mogelijk.