Burger King lekt klantgegevens via onbeveiligde database
Fastfoodketen Burger King heeft via een onbeveiligde database bijna 38.000 klantgegevens gelekt. Het gaat om e-mails, wachtwoorden, namen, telefoonnummers, geboortedatum, codes van kortingsbonnen en links naar extern opgeslagen certificaten.
Ook bevatte de database de inloggegevens van 25 beheerders van het CRM-systeem. In dit geval ging het om namen, e-mailadressen en versleutelde wachtwoorden, zo stelt beveiligingsonderzoeker Bob Diachenko. De onderzoeker ontdekte de database op 24 april van dit jaar. Het ging om een Elasticsearch-database die voor iedereen op internet zonder wachtwoord toegankelijk was.
De database bleek van Kool King Shop te zijn, een Franse webwinkel van Burger King. Via de website kunnen klanten die een Burger King-menu hebben gekocht een code invoeren waarmee uit verschillende producten kan worden gekozen. Diachenko waarschuwde de fastfoodketen, waarna de database werd beveiligd. Burger King liet verder weten dat het de nationale autoriteiten over het incident heeft geïnformeerd.
Zoiets snap ik echt niet. Het gaat om persoonsgegevens dus je zou verwachten dat een groot bedrijf als dit wel drie keer zou nadenken alvorens dat soort gegevens überhaupt in een database te zetten. Laat staan onbeveiligd via internet benaderbaar.
Zoiets snap ik echt niet. Het gaat om persoonsgegevens dus je zou verwachten dat een groot bedrijf als dit wel drie keer zou nadenken alvorens dat soort gegevens überhaupt in een database te zetten. Laat staan onbeveiligd via internet benaderbaar.
Zoiets snap ik echt niet. Het gaat om persoonsgegevens dus je zou verwachten dat een groot bedrijf als dit wel drie keer zou nadenken alvorens dat soort gegevens überhaupt in een database te zetten. Laat staan onbeveiligd via internet benaderbaar.
Vaak even snel iets neer zetten, door personen die eigenlijk niet weten wat ze doen zonder erover na te denken.
En daarna, het werkt toch?
http://156.235.224.95/ met Protected Elastisearch met wachtwoord beschermde inlog
of beschermd via Kibana. Zie: https://www.elastic.co/guide/en/x-pack/current/elasticsearch-security.html
Dat is toch wel het minste wat we van de Burger King hadden kunnen verwachten.
Er zijn zelfs kant en klare zoekscriptjes voor in gebruik voor op shodan: als LeakLooker
voor publiek toegankelijke MongoDB, CouchDB and Elasticsearch databases, met Kibana toegevoegd.
Ook al is een website onbeveiligd en staan alle deuren wagenwijd open,
zoals bij onbeschermd publiek toegankelijke Elastisearch databases,
dan nog is zich toegang verschaffen door de site te bezoeken niet toegestaan
en wordt gerekend tot computervredebreuk en daarom strafbaar te zijn.
Je ziet ergens achter de balkondeuren wagenwijd openstaan, toch mag je daar niet naar binnen.
Neen, dat mag echt niet, want dan ben je immers een inbreker of in cybertermen een "intruder".
Aan de andere kant is het Burger King ook verwijtbaar zo onbeschermd met klantgegevens om te gaan.
J.O.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
