Blokker lekte gegevens klanten webshop via IDOR-kwetsbaarheid
Blokker heeft privégegevens van klanten van de eigen webshop via een zogeheten IDOR-kwetsbaarheid gelekt. Alleen het aanpassen van het ordernummer in de adresbalk van de browser was genoeg om de gegevens en bestellingen van andere klanten te zien. Mogelijk gaat het om 720.000 bestellingen die naast bestelde producten ook naam, adresgegevens en telefoonnummers bevatten en eenvoudig door andere klanten waren in te zien.
Dat meldt AVROTROS Opgelicht?! dat werd ingelicht door een tipgever. De kwetsbaarheid in de webwinkel zou al sinds eind oktober in de webwinkel van Blokker aanwezig zijn. Blokker laat in een reactie weten dat het afgelopen oktober op een nieuwe webshop is overgestapt. De kwetsbaarheid is inmiddels verholpen. Daarnaast is het datalek bij de Autoriteit Persoonsgegevens gemeld en maakt de winkel excuses aan klanten.
Insecure direct object references (IDOR)-kwetsbaarheden doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van deze kwetsbaarheid komt die nog altijd geregeld voor. Zo kreeg de Infectieradar van het RIVM met een IDOR-kwetsbaarheid te maken waardoor vertrouwelijke gegevens van deelnemers voor derden toegankelijk waren.
Het is schering en inslag omdat de focus bij de verschillende partijen en de corrigerende krachten onderling elkaar niet in ballans houden.
Directeurtjes en minister presidenten persoonlijk aansprakelijk gaan houden. Dan wordt er beter bestuurd en worden de buisnesmodellen van de digidrang realistischer waarbij de verborgen kosten van beveiliging niet als risico op de burger eindigt maar in de board room daar waar het hoort en ook 'verdient' wordt.
Ontbreken van goede access beveiliging. Goed voor dagelijkse data breaches.
Dorkjes galore, pats, te vaak is het raak. Security as a last resort issue.
Sluitpost op de begroting, zoals anoniem van 9.56 stelt.
Risico's van de bedrijfvoering vaak afgewenteld op "het gemeen".
Wie zijn "het gemeen"? Dat zijn u en ik - de eindgebruiker, de klant, "het product",
dat de liefst giga-winst brengt. Daar moet al het overige voor wijken.
luntrus
Het antwoord hierop is SSL.
luntrus
https://en.wikipedia.org/wiki/Insecure_direct_object_reference
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
