Een beveiligingslek in een plug-in die door honderden en mogelijk duizenden webwinkels wordt gebruikt maakte het mogelijk voor een aanvaller om de voor- en achternaam, aankopen en locatiegegevens van klanten te achterhalen. Het gaat om de plug-in Yopify, die op verschillende webwinkelplatformen zoals BigCommerce, WooCommerce, Shopify en LemonStand is te gebruiken.
De plug-in toont potentiële klanten elke paar seconden een pop-up met wat andere klanten hebben gekocht. Daarbij wordt de voornaam, beginletter van de achternaam en woonplaats van de andere klant vermeld, alsmede het aangeschafte product. Dit gebeurt allemaal zonder toestemming van gebruikers. Onderzoekers van beveiligingsbedrijf Rapid7 ontdekten dat mogelijk was om via de programmeerinterface (api) van de plug-in de gegevens van de laatste 50 klanten te downloaden.
Het ging daarbij ook om gegevens die niet in de pop-up zichtbaar waren, zoals volledige voor- en achternaam en locatiegegevens op stadsniveau. Een aanvaller zou dit elke paar uur kunnen doen om zo een database van klanten en gekochte producten aan te leggen. Yopify werd op 22 maart gewaarschuwd, maar er volgde geen reactie. Na meerdere pogingen om contact met het bedrijf te krijgen volgde pas op 18 mei een eerste reactie. Het bedrijf heeft nu een oplossing uitgerold, waarop Rapid7 de bevindingen openbaar maakte.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Longread : Voor privacy enthousiasten en data vreters Recent was er in het nieuws dat er nogal wat verzekeraarwebsites data ...
Junior adviseur informatiebeveiliging / incidentcoördinator
Ministerie van Buitenlandse Zaken
Als incidentcoördinator ben je lid van het securityteam van het ministerie van Buitenlandse Zaken. Je bent medeverantwoordelijk voor de bescherming van de informatievoorziening van BZ. Als junior adviseur informatiebeveiliging voer je impact-analyses uit en stel je adviezen op over operationele informatiebeveiligings-vraagstukken.
Information Security Officer ICT
Voor onze innovatieve kliniek en toon-aangevend onderzoeksinstituut zoeken wij een enthousiaste en zelfstandige informatiebeveiliger die ons management kan adviseren en ondersteunen op het gebied van informatieveiligheid en privacy. Ben jij in staat om nieuw beleid te vertalen naar inhoudelijke en passende technische en organisatorische maat-regelen? Solliciteer dan direct!
Wij zijn een kleine vereniging die zich wil voorbereiden op de AVG. Eén zorg is onze ledenadministratie, die we nu beheren in ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.