Blokker heeft privégegevens van klanten van de eigen webshop via een zogeheten IDOR-kwetsbaarheid gelekt. Alleen het aanpassen van het ordernummer in de adresbalk van de browser was genoeg om de gegevens en bestellingen van andere klanten te zien. Mogelijk gaat het om 720.000 bestellingen die naast bestelde producten ook naam, adresgegevens en telefoonnummers bevatten en eenvoudig door andere klanten waren in te zien.
Dat meldt AVROTROS Opgelicht?! dat werd ingelicht door een tipgever. De kwetsbaarheid in de webwinkel zou al sinds eind oktober in de webwinkel van Blokker aanwezig zijn. Blokker laat in een reactie weten dat het afgelopen oktober op een nieuwe webshop is overgestapt. De kwetsbaarheid is inmiddels verholpen. Daarnaast is het datalek bij de Autoriteit Persoonsgegevens gemeld en maakt de winkel excuses aan klanten.
Insecure direct object references (IDOR)-kwetsbaarheden doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van deze kwetsbaarheid komt die nog altijd geregeld voor. Zo kreeg de Infectieradar van het RIVM met een IDOR-kwetsbaarheid te maken waardoor vertrouwelijke gegevens van deelnemers voor derden toegankelijk waren.
Deze posting is gelocked. Reageren is niet meer mogelijk.