Britse webwinkel krijgt 65.000 euro boete wegens datalek
Een Britse webwinkel heeft een boete van omgerekend 65.000 euro gekregen omdat het klantgegevens die drie jaar geleden werden gestolen niet goed had beveiligd. De website van Construction Materials Online (CMO), een online aanbieder van bouwmaterialen, was kwetsbaar voor sql-injection.
Sql-injection is een probleem dat al sinds de vorige eeuw bekend is, maar nog steeds bij veel websites wordt aangetroffen omdat webdevelopers onveilig programmeren en organisaties hun websites niet laten testen. Via sql-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen.
In het geval van CMO wist een aanvaller via sql-injection de onversleutelde gegevens van creditcardhouders te stelen, waaronder namen, adresgegevens, rekeningnummers en beveiligingscodes. Onderzoek door de Britse databeschermingsautoriteit ICO wees uit dat CMO de veiligheid van de website niet regelmatig liet testen, waardoor het beveiligingslek onopgemerkt bleef. Daarnaast waren de gebruikte wachtwoorden niet sterk genoeg om een bruteforce-aanval te weerstaan.
"Het zijn niet alleen grote, bekende bedrijven die met cybersecurity rekening moeten houden. Cybersecurity moet voor alle bedrijven een topprioriteit zijn, ongeacht hun omvang", zegt Steve Eckersley, hoofd handhaving van de ICO. "Deze boete is een waarschuwing voor andere mkb-bedrijven dat de veiligheid van de persoonlijke informatie van hun klanten op de eerste plek moet komen."
Als je nu toegeeft dat je data is gelekt/gestolen (verplicht) dan wordt je na enige tijd bestraft met een boete .... Niet echt een prikkel voor een bedrijf om het direct weer aan te geven mocht het nog eens gebeuren. Geef deze bedrijven liever een verplichte cursus hoe het wel moet! Dat kost ook geld maar dan levert het misschien nog wat op.
Johan.
Als je nu toegeeft dat je data is gelekt/gestolen (verplicht) dan wordt je na enige tijd bestraft met een boete .... Niet echt een prikkel voor een bedrijf om het direct weer aan te geven mocht het nog eens gebeuren. Geef deze bedrijven liever een verplichte cursus hoe het wel moet! Dat kost ook geld maar dan levert het misschien nog wat op.
Johan.
Jawel, alleen boetes lijken pijn te doen. Het is gewoon business. Als het niets kost, wordt er ook geen extra geld uitgetrokken voor een betere leverancier. Nu moet men het meenemen in de kosten, en kan men dus in de toekomst afwegen. Als we er een goedkope rommel van maken, kan het ons 65k kosten, dus laten we het budget voor de webwinkel verhogen met 30k, voor een externe audit bijvoorbeeld.
En met deze boete kunnen ze natuurlijk ook hun leverancier aanpakken, en via hun nalatigheid/incompetentie hen aansprakelijk stellen. Wellicht is het een zzp'er of ander klein bedrijfje dat hierdoor failliet gaat, kunnen ze mooi hun onkunde niet verder verspreiden.
Daarnaast kan die 65k goed besteed worden aan de mensen die met de overlast kwamen te zitten. Die worden altijd vergeten.
Als je nu toegeeft dat je data is gelekt/gestolen (verplicht) dan wordt je na enige tijd bestraft met een boete .... Niet echt een prikkel voor een bedrijf om het direct weer aan te geven mocht het nog eens gebeuren. Geef deze bedrijven liever een verplichte cursus hoe het wel moet! Dat kost ook geld maar dan levert het misschien nog wat op.
Uit de in het artikel gelinkte pagina:
Mr Eckersley said:
“It’s not just large, household-name companies that have to consider cyber security. Cyber security must be a top priority for businesses regardless of size.
“This fine must serve as a warning to other small and medium-sized firms that the security of their customers’ personal information must come first.”
de grens is duidelijk, de investering ook, doe je die niet, dan rigoreus ook die straf, niet mutsen, je zaken gewoon op orde hebben.
Misschien in Engeland het geval, maar hier kan je gewoon je gang gaan. Niemand die hier zich ook maar iets van aantrekt, want toch geen boete....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.