Hoe dom kun je zijn…..

Een hacker heeft een database gekraakt en persoonlijke gegevens van honderdduizenden mensen toegangkelijk gemaakt. Het gaat onder andere om de NAW-gegevens van Bavaria-klanten. De hacker kraakte de beveiliging van marketingbureau en applicatie-ontwikkelaar Creation Point. Dat blijkt uit onderzoek naar de herkomst van gepubliceerde informatie van KPN-klanten. In het kielzog van die zaak kwam een nieuw lek aan het licht, waarbij een MySQL-database zonder wachtwoord beheerderstoegang aan willekeurige gebruikers geeft.

De database is aan het internet gekoppeld via een webserver, die onbeveiligd was. Zo bleek het mogelijk om overal vandaan in te loggen omdat IP-adressen niet worden gefilterd. Hierdoor zijn tientallen databases toegankelijk, waarbij een aantal over persoonsgegevens beschikt.

Twee van de databases horen toe aan bierbrouwer Bavaria, die in het kader van marketingacties informatie van respectievelijk 133.000 en 41.000 personen verzamelden. Daarnaast gaat het om sites van allerhande organisaties variërend van Golfclubs tot webshops. Soms is dat privacygevoelige informatie en soms betreft het websites met informatie waarvan het mogelijk is de inhoud te wijzigen. In totaal zijn er 296 databases gelekt.

Verantwoordelijk voor de server is het bedrijf Creation Point dat de problematiek erkent. Het bedrijf benadrukt echter dat toen de server in augustus in gebruik is genomen er een firewall heeft gedraaid. Ook bestond er een wachtwoord voor de beheerder (root) van de MySQL-database. Bewijs voor de inbraak werd aangetroffen in de logboeken. Er is toestemming gegeven om alle tabellen te benaderen vanuit andere accounts en het beheerderswachtwoord is gewist. Inmiddels is aangifte gedaan bij de politie. Tijdens het onderzoek naar de hack is een reeks servers offline gehaald om te kijken of er op meerdere servers is ingebroken.

‘Bavaria is naast enkele tientallen andere bedrijven gedupeerd van een inbraak die op de server van een leverancier, Creation Point, heeft plaatsgevonden. Op de betreffende server draaiden enkele tientallen websites van vele bedrijven en stonden verschillende bestanden, waaronder die van Bavaria’, zegt Inge van der Heijden, Corporate Communication Manager van Bavaria.

Volgens Bavaria is het aantal records lager dan de optelsom van de twee aangetroffen databases. ‘Het bestand van Bavaria bevat 132.934 Records van mensen die deegenomen hebben aan een actie. Het betreft alleen naam, adres, woonplaats-gegevens van deze mensen en geen passwords. We weten niet zeker of het bestand ook is meegenomen door de hacker. We stellen vandaag alle mensen in het bestand op de hoogte van deze inbraak.’

 

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *