Honderdduizenden zakelijke leaserijders zijn mogelijk slachtoffer van een datalek in software die gebruikt wordt door tientallen leasemaatschappijen. Door een kwetsbaarheid in de online portal en achterliggende database was de server met gegevens van alle 52 betrokken leasemaatschappijen uit Nederland beschikbaar. Het lek in de software van CarWise ICT is inmiddels gedicht.
Dat meldt de Nederlandse tak van ict-beveiliger Eset. Het bedrijf onderzocht de software omdat het zelf wilde overstappen naar dat softwarepakket. ‘We kregen een inlogcode voor de klantportaal die eenvoudig gemanipuleerd kon worden door het volgnummer aan te passen’, vertelt Eset-directeur David Maasland.
In een blog gaan de beveiligers onder meer in op de technische details van het lek. Daarin delen ze ook screenshots van de softwarecode. Eset schrijft in een persbericht over het lek: ‘De toegang tot de gegevens van leaserijders was in de meeste gevallen mogelijk door gaten in een softwarepakket, dat het merendeel van de Nederlandse leasemaatschappijen voor hun portaal gebruikt. Weliswaar hadden de maatschappijen allemaal een eigen versie van het portaal, maar na onderzoek bleek dat ze één dataserver deelden.’
De beveiliger: ‘Hoewel elke maatschappij een eigen database op die server had, maakte elk portaal verbinding met hetzelfde account. Daardoor was het mogelijk om gegevens bij alle aangesloten leasemaatschappijen op te vragen.’ Het lukte Eset bijvoorbeeld om zonder problemen de auto- en privégegevens op te vragen van wagens die bij een andere leasemaatschappij waren ondergebracht. De beveiligingsexperts zouden eenvoudig toegang hebben gehad tot alle klantgegevens van maatschappijen die werkten met de bewuste software.
Melden datalek
Volgens Eset-directeur Maasland heeft het softwarebedrijf adequaat gereageerd op de melding van het lek en zijn de kwetsbaarheden inmiddels verholpen. Eset ontdekte het lek vorige week en meldde het vervolgens direct bij CarWise ICT. Volgens die leveranier zijn de kwetsbaarheden daarna binnen een dag gedicht. CarWise ICT-directeur René Fabrie meldt aan RTL Nieuws dat na de melding direct het systeem gesloten is en aanpassingen zijn doorgevoerd. Volgens Fabrie zijn er geen aanwijzingen dat er gegevens gestolen zijn, maar is dat niet uit te sluiten. Klanten zijn inmiddels geïnformeerd over het lek.
Volgens Fabrie moeten klanten zelf afwegen of ze het datalek melden aan de Autoriteit Persoonsgegevens. Eset-directeur David Maasland is stelliger. Hij stelt dat, betrokken leasemaatschappijen zich bij de Autoriteit Persoonsgegevens moeten melden omdat het om een grote dataset gaat en de kans op misbruik van die gegevens groot is. Ook bij het vermoeden van dataverlies van privacygevoelige gegevens is een melding namelijk verplicht.
“die eenvoudig gemanipuleerd kon worden door het volgnummer aan te passen”
Bij de softwareleverancier werken dus blijkbaar softwareontwikkelaars die dat vantevoren niet hadden kunnen bedenken en ook niet getest hebben. Fijn dat het lek binnen een dag gedicht is maar wat is er nog meer mis met deze software? Het personeel dat eraan gewerkt heeft is overduidelijk incapabel.
Leuk dat de betreffende firma het lek gedicht heeft, maar helaas te laat mannen….
De hele databasedump valt (nog steeds) via torrent te downloaden.
Een beetje slimme crimineel kan daar handig gebruik van maken.
@Hans … weet jij dan wie er aan gewerkt heeft? Misschien stond dit niet in de specs, of is er bewust gekozen voor deze opzet om het simpel te houden en snel naar de markt te kunnen.
Je oordeelt wel heel makkelijk namelijk.