Brits bedrijf ontsnapt aan megaboete wegens SQL Injection-lek
Een Brits bedrijf dat een SQL Injection-lek op de website had waardoor de gegevens van duizenden klanten werden gestolen is vanwege de financiële situatie waarin het verkeert aan een megaboete ontsnapt. Dat laat de Britse toezichthouder de Information Commissioner’s Office (ICO) weten.
In 2013 werd een SQL Injection-lek in de hotelboekingssite Worldview Limited gebruikt om de gegevens van 3814 klanten te stelen, alsmede hun betaalkaartgegevens. Hoewel de betaalkaartgegevens versleuteld waren, was de decryptiesleutel bij de data opgeslagen. Hierdoor kon de aanvaller toegang tot de volledige betaalkaartgegevens krijgen, waaronder de driecijferige beveiligingscode voor het goedkeuren van betalingen.
Lek
De kwetsbaarheid was al sinds mei 2010 in de website aanwezig en werd tijdens een routinecontrole op 28 juni 2013 ontdekt. Aanvallers hadden toen al tien dagen lang toegang tot de gestolen gegevens. Een fout in de code van de website die de hoteltarieven ophaalde zorgde ervoor dat de invoer van gebruikers niet goed werd gecontroleerd. Hierdoor wist de aanvaller uiteindelijk de wachtwoordhashes van de WordPress-site stelen.
Het ging hier om de meest recente versie van WordPress. Vanwege operationele redenen was de WordPress-site op dezelfde server als de boekingsdienst geplaatst. Bij het aanmaken van één van de beheerdersaccounts was er tegen het bedrijfsbeleid in een zwak wachtwoord gebruikt. Daardoor kon de aanvaller de wachtwoordhash kraken en zo het zwakke wachtwoord achterhalen.
Volgens de ICO was het bedrijf nalatig in de beveiliging van klantgegevens en had daardoor de databeschermingswetgeving overtreden. Het bedrijf zou een boete van 96.000 euro krijgen, maar vanwege de financiële situatie van het bedrijf werd dit naar 9600 euro verlaagd.
Beleid moet je dan ook afdwingen met technische controls, zodat je geen zwak wachtwoord kan gebruiken. Al wijzen de meeste werkgevers naar de werknemer onder hem mom van awareness zonder zelf enige verantwoording te nemen.
Welke idioot heeft dat geregeld? De CTO van het bedrijf dien standrechtelijk ge------- heropgevoed te worden in Noord Korea en dat bedrijf dient gewoon opgeheven te worden. Persoonsgegevens lekken is maatschappelijk veel problematischer dan te hard rijden!
Voortaan: Ik wil boetes niet betalen vanwege mijn financiële situatie. Eens kijken hoe klantgerichte organisaties als die in Leeuwarden daar mee omgaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.