Een tipgever wees Opgelicht?! op een datalek bij winkelketen Blokker. De bestelmodule van de webshop zou onjuist zijn geconfigureerd, waardoor het een koud kunstje was om gegevens van andermans bestelling op te vragen. Opgelicht?! nam de proef op de som. Wat blijkt? Door een eenvoudige handeling te verrichten, konden willekeurige gebruikers naar hartelust grasduinen in andermans bestelgegevens zonder dat daar specifieke technische kennis voor nodig is. Hoe kan dat? Opgelicht?! legt het voor aan ethisch hacker Sijmen Ruwhof én vraagt Blokker om een reactie.
Een datalek in de webshop van Blokker, dat klinkt als slecht nieuws. Maar om welke gegevens gaat het precies? Dat zijn er behoorlijk wat: zo was het niet alleen mogelijk om precies te zien welke producten andere klanten hebben besteld, het was ook mogelijk om zowel naam- als adresgegevens én telefoonnummers van deze klanten te achterhalen. Daarmee ligt identiteitsfraude op de loer, en deze informatie is daarnaast natuurlijk ook interessant voor kwaadwillenden in verband met mogelijke pogingen tot oplichting.
Iedere leek kon zomaar rondsnuffelen zonder ingewikkelde scripts te draaien of andere technische vaardigheden toe te passen. Sterker nog, eenmaal ingelogd in de webshop van Blokker was het handmatig wijzigen van het unieke ordernummer in de adresbalk van je browser in principe al voldoende.
Geen controle of uniek ordernummer bij een specifiek klantaccount hoort
Dat iedere bestelling een uniek ordernummer toegewezen krijgt, is logisch: administratief is dat een vereiste om de betaling correct te kunnen verwerken én om zicht op de voortgang van de bestelling te kunnen houden. Het is echter niet de bedoeling dat je zomaar op basis van andermans ordernummer in de systemen kunt snuffelen, en juist daar gaat het mis.
Er zat in de webshop kennelijk geen aanvullende vorm van beveiliging waarmee het systeem van Blokker verifieert of het ordernummer dat je handmatig opgeeft in je adresbalk ook daadwerkelijk bij het account hoort waar de bestelling mee is geplaatst, oftewel het account waarmee je bent ingelogd. En dat is een probleem.
'Lek al sinds eind oktober 2020 aanwezig, betreft data van ruim 720.000 bestellingen'
Ethisch hacker Sijmen Ruwhof keek op verzoek van Opgelicht?! naar het lek en trekt een aantal opmerkelijke conclusies. Allereerst lijkt het er volgens Ruwhof op dat het lek al sinds eind oktober 2020 aanwezig was in de webshop van Blokker. Aan de technologie te zien is de webshop volgens Ruwhof ooit wel aan een beveiligingstest onderworpen, maar hoe recent dat is, is niet te zien. Waarschijnlijk niet meer sinds oktober 2020, vermoedt Ruwhof.
Analyse wijst verder uit dat het gaat om gegevens van ruim 720.000 unieke bestellingen. Hoewel het niet zo is dat de details van ieder individueel ordernummer nog te raadplegen zijn, lijkt het er volgens Ruwhof in ieder geval wél op dat het hier gaat om gegevens van honderdduizenden bestellingen die maandenlang open en bloot te raadplegen waren. Sijmen Ruwhof spreekt zelf van 'een datalek waarin honderdduizenden persoonsgegevens te downloaden waren.'
Ruwhof: 'Dit is niet alleen een ernstig datalek, maar vanwege de eenvoud ook knullig. Het is zelfs voor een amateur makkelijk te vinden en mede daarom ook makkelijk te misbruiken. Met een scriptje kan een hacker binnen een dag alle data van ruim 720.000 unieke bestellingen bovendien zó binnenhalen. Daarnaast geldt dat het een beveiligingslek betreft dat simpel op te lossen valt.'
Blokker reageert op het datalek en doet melding bij de Autoriteit Persoonsgegevens
Opgelicht?! meldt het lek bij Blokker en vraagt om een reactie. Een woordvoerder van de winkelketen bevestigt in ieder geval dat er in oktober 2020 een overgang naar een nieuwe website heeft plaatsgevonden, en daarmee lijkt Ruwhofs vermoeden wat betreft de periode dat de ordergegevens openbaar waren te kloppen. Blokker reageert als volgt:
Reactie Blokker op datalek
'Blokker vindt het vreselijk dat er door de overgang naar een nieuwe website een datalek is ontstaan. Wij hebben direct actie ondernomen om dit dezelfde dag nog op te lossen. Daarnaast hebben wij direct de Autoriteit Persoonsgegevens ingelicht.
Wij vinden het heel erg dat dit heeft kunnen gebeuren en bieden onze klanten onze excuses aan. Uiteraard zullen wij er alles aan doen om dit in de toekomst te voorkomen.'