image

Britse bouwmarktketen B&Q lekt gegevens winkeldieven

vrijdag 25 januari 2019, 16:47 door Redactie, 21 reacties

De Britse bouwmarktketen B&Q heeft door een onbeveiligde Elasticsearch-database de gegevens van duizenden mensen gelekt die wegens winkeldiefstal waren betrapt of hiervan werden verdacht. Ook bevatte de database uitgebreide informatie over beveiligingsincidenten bij de bouwmarktketen.

De database werd ontdekt door onderzoekers van securitybedrijf Ctrlbox. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. De database van B&Q, die voor iedereen zonder wachtwoord toegankelijk was, bevatte 70.000 regels aan beveiligingsincidenten.

Het ging onder andere om de voor- en achternaam van personen die waren gepakt wegens winkeldiefstal of hiervan werden verdacht, alsmede productcodes, prijs, schade en GEOIP-informatie van de winkel. Een andere tabel in dezelfde database werd gebruikt om incidenten te volgen. Het ging onder andere om uitgebreide beschrijvingen van personen, voertuigen en andere incidentgerelateerde informatie.

De onderzoekers waarschuwden B&Q op 12 januari via e-mail en een dag later ook via Twitter. Vier dagen na de eerste melding was de database nog steeds voor iedereen toegankelijk. Wederom werd het bedrijf ingelicht en kregen de onderzoekers te horen dat het bericht naar het securityteam was doorgestuurd. Een week en verschillende personen verder was er nog steeds geen actie ondernomen. Uiteindelijk werd de server op 23 januari offline gehaald.

Reacties (21)
25-01-2019, 17:33 door Anoniem
Heel vervelen voor de dieven. Helaas blijft stelen strafbaar. Lekken niet. Ander wetboek.
25-01-2019, 18:48 door jh81
Door Anoniem: Heel vervelen voor de dieven. Helaas blijft stelen strafbaar. Lekken niet. Ander wetboek.

Heel vervelend vooral voor de mensen die van diefstal VERDACHT worden. Helemaal als die mensen ONTERECHT verdacht worden. Wat mij betreft mag er dan ook een flinke boete tegen B &Q geeist worden.
25-01-2019, 19:50 door -karma4 - Bijgewerkt: 25-01-2019, 19:50
De Britse bouwmarktketen B&Q heeft door een onbeveiligde Elasticsearch-database de gegevens van duizenden mensen gelekt die wegens winkeldiefstal waren betrapt of hiervan werden verdacht.

Onbeveiligde database met gevoelige gegevens? Nalatigheid...
25-01-2019, 21:26 door Anoniem
Vinkje zetten bij de werkelijke dieven en de selectie laten lekken, kan gebeuren.
25-01-2019, 22:20 door karma4
Het is de zoveelste big data oss storage in de cloud waaruit gegevens lekken. Gewoonlijk zijn het gewone mensen waarvan wat details onterecht te ruim in te zien waren.

Deze keer gast het om en betrapte winkeldieven en waarbij men verdenkingen had.
Opvallend in de reactie(s) is het inlevingsvermogen met de winkeldieven niet de gewonen man als potentieel slachtoffer van id fraude.
26-01-2019, 08:38 door -karma4
Door karma4: Het is de zoveelste big data oss storage in de cloud waaruit gegevens lekken.

De zoveelste auto op de weg met een een dronken bestuurder die een ongeluk veroorzaakt. Begrijpend lezen test: wat is het probleem? De auto of de dronken bestuurder?
26-01-2019, 09:33 door karma4 - Bijgewerkt: 26-01-2019, 09:39
Door The FOSS: De zoveelste auto op de weg met een een dronken bestuurder die een ongeluk veroorzaakt. Begrijpend lezen test: wat is het probleem? De auto of de dronken bestuurder?
Als je denkt dat prima auto's het misbruik door dronken bestuurders vanzelf als ware het een wonder ophoudt, tja....
Dan speelt er nog dat het kennelijk gebracht is dat je voor prima auto's geen rijbewijs nodig zou hebben want dat rijbewijs had heeft de autoverkoper wel.

Hier zit het probleem met het OSS dogma, als iedereen de code kan zien hoef je niets maar een veilige inrichting en meer van dat lastige ict gedoe te doen. Dan komen ze het nog gratis en voor niets doen ook. Tja dan vraag je om ongelukken.
26-01-2019, 12:07 door -karma4
Door karma4: Hier zit het probleem met het OSS dogma, als iedereen de code kan zien hoef je niets maar een veilige inrichting en meer van dat lastige ict gedoe te doen. Dan komen ze het nog gratis en voor niets doen ook. Tja dan vraag je om ongelukken.

Je suggereert verbanden die er helemaal niet zijn!
26-01-2019, 12:35 door karma4
Door The FOSS: Je suggereert verbanden die er helemaal niet zijn!
Ik zie die in de praktijk en als wilt....
https://krebsonsecurity.com/tag/mongodb/ " but it is easy to misconfigure and leave the database exposed online."
https://www.theregister.co.uk/2016/05/03/mongodb_security_breaches_vp_speaks/ “security isn't something they focus on until the end,”
https://www.mongodb.com/blog/post/how-to-avoid-a-malicious-attack-that-ransoms-your-data

Dit gaat in de herhaling met elastic. Zelfde ontwikkelstrategie time to market budgetten.
https://www.cbronline.com/breaches/mongodb-hackers-target-elasticsearch-new-wave-ransomware-attacks/
“Since cloud-based NoSQL systems are relatively new, the experience of data scientists on these systems varies greatly. And, like almost all database systems, security configuration is not a priority.”

Zijn we weer terug bij shadow ICT en het onbegrip van nerds naar de bedrijfsdoelen waar marketing beter gehoord wordt.
Iets wat al zo'n 30-40 jaar speelt en als je wat afstand kunt nemen van de dagelijkse waan een fraai verband toont.
26-01-2019, 14:26 door Anoniem
Door Anoniem: Heel vervelen voor de dieven. Helaas blijft stelen strafbaar. Lekken niet. Ander wetboek.

Ik denk dat dit een tactiek is om de winkeldieven te vangen. Als ze gaan klagen over hun privacy schending bij de politie, kunnen ze meteen aangehouden worden voor de diefstal. Best slim van B&Q
26-01-2019, 15:31 door Tha Cleaner
Door karma4: Het is de zoveelste big data oss storage in de cloud waaruit gegevens lekken. Gewoonlijk zijn het gewone mensen waarvan wat details onterecht te ruim in te zien waren.
Je probeert weer wat aan elkaar te praten wat er niet is. Het heeft niets met oss te maken. Maar gewoon met de verkeerde mensen op de verkeerde plekken. Dit kan net zo goed fout gaan met een big data storage in de cloud.

Het is een foute configuratie, welk OS of applicatie daarvoor gebruikt wordt maakt niet uit.

Door karma4:
Zijn we weer terug bij shadow ICT en het onbegrip van nerds naar de bedrijfsdoelen waar marketing beter gehoord wordt.
Iets wat al zo'n 30-40 jaar speelt en als je wat afstand kunt nemen van de dagelijkse waan een fraai verband toont.
Het zijn beheerders die hun werk niet goed doen. Of gebruikers die gewoon niet ICT moeten neerzetten, maar het aan professionals overlaten.
26-01-2019, 17:22 door Anoniem
Door karma4: Zijn we weer terug bij shadow ICT en het onbegrip van nerds naar de bedrijfsdoelen waar marketing beter gehoord wordt.
Hoezo ligt dat aan het onbegrip van nerds? Volgens mij ligt het eerder aan het onbegrip van mensen die ICT niet snappen die niet doorhebben wat er bij komt kijken om het beheersbaar te houden. Persoonlijk heb ik maar zelden meegemaakt dat automatiseerders hun gebruikers niet goed wilden helpen en geen oog hadden voor hun doelen, maar volop dat er steeds minder bereidheid was om de tijd en budget ter beschikking te stellen om dat ook te kunnen.

En juist door het wegvallen van de bereidheid ervoor te betalen en om mensen de rust te gunnen dingen zorgvuldig te doen die goed moeten zijn wordt er broddelwerk geleverd en krijg je dit soort datalekken. Niet omdat nerds bedrijfsdoelen willen negeren, maar omdat er iets onmogelijks van de nerds wordt gevraagd of omdat het helemaal geen nerds zijn die het uitvoeren.

https://www.theregister.co.uk/2016/05/03/mongodb_security_breaches_vp_speaks/ “security isn't something they focus on until the end,”
Andere quote uit dat stuk:
It's literally as simple as creating a username and password. Frankly, if you go back to MongoDB 2.6 – over two years ago – since then our most popular installer, RPM, makes it so you cannot connect to MongoDB remotely.

So all of these servers out on the public internet, and wide open, are from versions of the software that are more than two years old, or someone deliberately removed these security mechanisms.
Een nerd, iemand die enthousiast is over de gebruikte techniek en er een goed hoofd voor heeft, zal als je hem zijn of haar gang laat gaan wel degelijk dat minimum aan beveiliging opzetten en wel degelijk sofware up-to-date houden. Het zijn juist de mensen die alleen naar de bedrijfsdoelen kijken en denken dat de techniek die dat moet ondersteunen een onbelangrijk detail is die zo gierend de mist ingaan.

Het is heel goed mogelijk dat die mensen voor OSS kiezen omdat ze dat gratis kunnen krijgen, maar verwar die mensen niet met nerds en OSS-enthousiastelingen, dat zijn het juist niet, het zijn mensen die de techniek behandelen als een bijzaak die genegeerd kan worden.
26-01-2019, 19:51 door Anoniem
Door jh81:
Door Anoniem: Heel vervelen voor de dieven. Helaas blijft stelen strafbaar. Lekken niet. Ander wetboek.

Heel vervelend vooral voor de mensen die van diefstal VERDACHT worden. Helemaal als die mensen ONTERECHT verdacht worden. Wat mij betreft mag er dan ook een flinke boete tegen B &Q geeist worden.
YEP ik ga die mening mee want het kan heel goed mogelijk zijn dat mensen ten onrechte verdacht worden. Boete sturen aan die bouwmarkt.
26-01-2019, 20:38 door karma4 - Bijgewerkt: 26-01-2019, 20:44
Door Tha Cleaner:
Het zijn beheerders die hun werk niet goed doen. Of gebruikers die gewoon niet ICT moeten neerzetten, maar het aan professionals overlaten.
Er zijn denk ik geen beheerders met een informatica achtergrond bij (ict professionals ofwel nerds).
Shadow ICT ontstaat waar de ICT het laat afweten om naar de bedrijfsdoelen te kunnen dan wel mogen kijken.

Door Anoniem: Hoezo ligt dat aan het onbegrip van nerds? Volgens mij ligt het eerder aan het onbegrip van mensen die ICT niet snappen die niet doorhebben wat er bij komt kijken om het beheersbaar te houden. Persoonlijk heb ik maar zelden meegemaakt dat automatiseerders hun gebruikers niet goed wilden helpen en geen oog hadden voor hun doelen, maar volop dat er steeds minder bereidheid was om de tijd en budget ter beschikking te stellen om dat ook te kunnen.
Ik heb te vaak anders meegemaakt. ICT nerds die de bedrijfsdoelen missen en volledig aan een eigen voorkeur in techniek vastzitten. Op zich dachten ICT-ers wel dat het anders was maar het klopte niet met de werkelijk uitvoering.
Het is zeer herkenbaar als een gekocht tool duur project (ict) als succes afgeschilderd moet worden.
...
Wat met dwars als voorbeeld. Dat soort analyse verwerking buiten de gangbare ICT is mijn wereld.
Als hier op die forum wat zegt dat informatieveiligheid een groot probleem doordat er niet behoorlijk samengewerkt met de os laag, dan wordt je voor alle en nog wat minder fraais uitgemaakt omdat het os heilig is.
Als je dat niet al het bewijs ziet dat het echt niet goed met die samenwerking ziet dan volg ik het niet meer.

... Het zijn juist de mensen die alleen naar de bedrijfsdoelen kijken en denken dat de techniek die dat moet ondersteunen een onbelangrijk detail is die zo gierend de mist ingaan.
Klopt, de informatievoorziening is te duur levert niet op tijd en levert niet wat nodig is. Dat is de gangbare klacht.
Oplossing: uitbesteden liefst op prijs dan wel laat de marketing / veiligheidsafdeling het zelf oplossen. ….

.. en OSS-enthousiastelingen, dat zijn het juist niet, het zijn mensen die de techniek behandelen als een bijzaak die genegeerd kan worden.
Ik verwar ze niet.Ik zie die argumenten uit die niet professionele informatici achtergrond (tactisch gebeuren) het wel als advies uitdragen naar de beslissers met het gratis argument en dat alles wel door een ander gedaan kan worden. Het is de rugdekking voor die mensen die alleen naar bedrijfsdoelen en budgetten kijken.

Gangbaar iets... Doe het maar met een spreadsheetje dat offices tool heeft toch iedereen.
26-01-2019, 20:48 door -karma4 - Bijgewerkt: 26-01-2019, 20:48
Door Tha Cleaner:
Door karma4: Het is de zoveelste big data oss storage in de cloud waaruit gegevens lekken. Gewoonlijk zijn het gewone mensen waarvan wat details onterecht te ruim in te zien waren.

Je probeert weer wat aan elkaar te praten wat er niet is. Het heeft niets met oss te maken. Maar gewoon met de verkeerde mensen op de verkeerde plekken. Dit kan net zo goed fout gaan met een big data storage in de cloud.

Het is een foute configuratie, welk OS of applicatie daarvoor gebruikt wordt maakt niet uit.

Inderdaad! Tell him Tha!
26-01-2019, 22:37 door Tha Cleaner
Door karma4:
Door Tha Cleaner:
Het zijn beheerders die hun werk niet goed doen. Of gebruikers die gewoon niet ICT moeten neerzetten, maar het aan professionals overlaten.
Er zijn denk ik geen beheerders met een informatica achtergrond bij (ict professionals ofwel nerds).
Ik heb genoeg informatica beheerders grote fouten zien maken, en ik heb simpele opgeleide goede infrastructuur zien bouwen en onderhouden.

Shadow ICT ontstaat waar de ICT het laat afweten om naar de bedrijfsdoelen te kunnen dan wel mogen kijken.
Mijn ervaring is juist dat het ontstaat omdat business en ICT niet goed samen werken. De business moet gewoon de juiste afspraken maken met ICT maar daar ook voor willen betalen. Daar zit vaak een groot probleem. Afspraken zijn niet flexibel, aanpassingen kosten (te) veel tijd, maar de business wil er ook niet meer voor betalen. En daar ontstaat de schaduw IT......
27-01-2019, 11:01 door Anoniem
Door Tha Cleaner:
Het zijn beheerders die hun werk niet goed doen. Of gebruikers die gewoon niet ICT moeten neerzetten, maar het aan professionals overlaten.

Haha, straks ga je nog beweren dat men bouwmarkten beter kan opdoeken omdat je het verbouwen en opknappen
van je huis aan professionals moet overlaten!!
27-01-2019, 12:03 door karma4
Door Tha Cleaner: Ik heb genoeg informatica beheerders grote fouten zien maken, en ik heb simpele opgeleide goede infrastructuur zien bouwen en onderhouden.
De zelfde ervaring. Alleen is de kans op het goed doen wat groter met een goede achtergrond.
Nu heb je het over beheerdes. Deze kijken aak niet verder dan de waan van de dag, het operationele niveau.
Waar de problemen echt zitten is het tactische en strategische niveau, de procesmanagers architecten war de richtlijnen voor de waan van de dag opgesteld worden. Daar heb je ook vaak compleet aparte werelden welke niet samenwerken,


Mijn ervaring is juist dat het ontstaat omdat business en ICT niet goed samen werken. De business moet gewoon de juiste afspraken maken met ICT maar daar ook voor willen betalen. Daar zit vaak een groot probleem. Afspraken zijn niet flexibel, aanpassingen kosten (te) veel tijd, maar de business wil er ook niet meer voor betalen. En daar ontstaat de schaduw IT......
De business die niet begrijpt wat ze zelf willen en er geen afspraken over weet te maken. Daarvoor is de oplossing in het 9 vlaks Maess verhaal aparte Informatie managers er tussen zetten welke alles van beiden kanten door heeft.
Afijn, we zijn het er tenminste over eens dat er een gebrek aan afstemming en samenwerking is.

Als je dat erkent kun je er mogelijk ook wat aan gaan doen zonder in het gelijk van de eigen wereld te blijven hangen.
28-01-2019, 10:15 door Anoniem
Echt ik ben niet voor een gehele controle staat. Maar MIJN GOD wat zou ik blij zijn als al die criminelen gewoon makkelijk aangepakt kunnen worden.

In China.. geen zwart rijders en gekken in de trein.. HEMELS! (behalve op de lijn naar busan dan.. zombie attack!!!)

Echt... ik meen het... we hebben de techniek MAAR OOK de justitie nodig om alle onverlaten eens GOED aan te pakken. Wat een bende in Nederland zeg.

GEDRAAG JE TOCH EENS MENS!
28-01-2019, 13:23 door Anoniem
Door Anoniem:
Door Tha Cleaner:
Het zijn beheerders die hun werk niet goed doen. Of gebruikers die gewoon niet ICT moeten neerzetten, maar het aan professionals overlaten.

Haha, straks ga je nog beweren dat men bouwmarkten beter kan opdoeken omdat je het verbouwen en opknappen
van je huis aan professionals moet overlaten!!

Als jij wil dat je huis veilig en stevig verbouwd is, en jij geen ervaring hebt, raad ik aan om het door profs op te laten pakken ja.
Hoeveel prutsers leggen zelf hun elektra of gas verkeerd om....
Maar waar halen deze profs de spullen? :)
28-01-2019, 13:34 door Anoniem
Door Anoniem: Echt ik ben niet voor een gehele controle staat. Maar MIJN GOD wat zou ik blij zijn als al die criminelen gewoon makkelijk aangepakt kunnen worden.

In China.. geen zwart rijders en gekken in de trein.. HEMELS! (behalve op de lijn naar busan dan.. zombie attack!!!)

Echt... ik meen het... we hebben de techniek MAAR OOK de justitie nodig om alle onverlaten eens GOED aan te pakken. Wat een bende in Nederland zeg.

GEDRAAG JE TOCH EENS MENS!

Justitie bepaald voor mij wat ik wel en niet mag, aangestuurd door onze roverheid.
Met al deze onnozele regeltjes gaat leef lach en heb lief al lang niet meer op.
Het beetje vrijheid wat er overblijft geef ik niet graag weg om zwartrijders te pakken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.