image

Albert Heijn lekt wachtwoorden van tienduizend klanten

vrijdag 9 november 2018, 11:49 door Redactie, 29 reacties

Albert Heijn heeft door een programmeerfout de wachtwoorden van tienduizend klanten gelekt, zo heeft de grootgrutter via de eigen website bekendgemaakt. De programmeerfout bevond zich in de software die Albert Heijn gebruikt om het inloggen op AH.nl mogelijk te maken.

Door de fout waren de inlognamen en het wachtwoord kort zichtbaar in de adresbalk van de browser. De inloggegevens van zo'n tienduizend klanten zijn op deze manier onbedoeld gedeeld met enkele online serviceproviders van Albert Heijn, aldus de verklaring van het bedrijf. Om welke providers het gaat laat de supermarktketen niet weten. Tegenover Nu.nl verklaart Albert Heijn dat het om partijen gaat die helpen om de website bijvoorbeeld sneller te maken en te personaliseren voor iedere bezoeker. Deze partijen zijn gevraagd om de inloggegevens te verwijderen.

De supermarktketen werd op 6 november op het probleem gewezen en heeft het inmiddels verholpen. Alle getroffen klanten zijn via e-mail ingelicht. Ook is er melding bij de Autoriteit Persoonsgegevens gedaan. Volgens Albert Heijn is er geen ongebruikelijke activiteit waargenomen met betrekking tot de inloggegevens of gebruikersaccounts. Wel is van alle getroffen gebruikers het wachtwoord gereset. Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Reacties (29)
09-11-2018, 12:02 door -karma4
Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Kijk! Zie je wel dat bedrijven wat over hebben voor mensen die bugs vinden en melden!
09-11-2018, 12:02 door Anoniem
AH geeft ook een onhandige 'refer-policy' (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy mee: 'no-refferer-when-downgrade'. Ik gok even dat als ze daar 'strict-origin-when-cross-origin' van hadden gemaakt het probleem veel kleiner was geweest van deze programmeerfout.

Overigens is het laden van externe scripts op je loginpagina (google tag manager zie ik) natuurlijk ook niet echt een 'best practise'.
09-11-2018, 12:13 door Anoniem
Door The FOSS:
Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Kijk! Zie je wel dat bedrijven wat over hebben voor mensen die bugs vinden en melden!

Mijn gezicht doet nog steeds pijn van de facepalm toen ik de 'beloning' voor het eerst las.
09-11-2018, 12:15 door Anoniem
Door The FOSS:
Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Kijk! Zie je wel dat bedrijven wat over hebben voor mensen die bugs vinden en melden!

Ik kan echt genieten van dit sarcasme XD
09-11-2018, 12:39 door Anoniem
Haha kijk dit zijn dan weer precies van die gedragingen waardoor responsible disclosure nooit gaat werken. Die kennis om vulnerabilities te vinden komt je zeker ook zomaar aanwaaien dus waarom daarvoor betalen? (Ok in dit geval was het natuurlijk ook niet bijster moeilijk)

Tja kansloos dus van AH om de plaintext wachtwoorden niet goed te beschermen.
09-11-2018, 13:23 door Anoniem
Door Anoniem:
Door The FOSS:
Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Kijk! Zie je wel dat bedrijven wat over hebben voor mensen die bugs vinden en melden!

Mijn gezicht doet nog steeds pijn van de facepalm toen ik de 'beloning' voor het eerst las.

Kan makkelijk zijn dat dat "bezoek aan het kantoor" weer een schat aan nieuwe informatie heeft opgeleverd, zoals
aan schermen geplakte wachtwoorden e.d. dus wieweet was het een goede beloning?
09-11-2018, 13:27 door Anoniem
AHa, de ruimhartigheid van 's lands grootste grutter, een kopje koffie en een bezoekje aan het kantoor.
Stel dat de persoon die het lek meldde in Utrecht woont dan is hij/zij ong. 100 km onderweg (retour), tegen 1:15 op benzine en dus 10 euro kwijt voor dat bakkie.

OT: plaintext WW is in deze tijd te triest voor woorden maar ik ken onvoldoende details om te stellen dat dat het probleem was.
09-11-2018, 13:42 door Briolet
Door Anoniem:
Door The FOSS:
Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Kijk! Zie je wel dat bedrijven wat over hebben voor mensen die bugs vinden en melden!

Mijn gezicht doet nog steeds pijn van de facepalm toen ik de 'beloning' voor het eerst las.

In de tekst op nu.nl staat het toch een nuance anders. Er staat alleen dat hij een kopje koffie op het kantoor gedronken heeft. Niet dat dit de (enige) beloning was. Hoewel dat zeker niet uit te sluiten is vind ik het steeds weer storend dat een verhaal aangedikt wordt bij het citeren.
09-11-2018, 14:55 door Anoniem
Door Anoniem: Haha kijk dit zijn dan weer precies van die gedragingen waardoor responsible disclosure nooit gaat werken. Die kennis om vulnerabilities te vinden komt je zeker ook zomaar aanwaaien dus waarom daarvoor betalen? (Ok in dit geval was het natuurlijk ook niet bijster moeilijk)

Tja kansloos dus van AH om de plaintext wachtwoorden niet goed te beschermen.
Dit kan zoiets stoms zijn als een HTML-aanlogformulier waarin <form method="get"> stond in plaats van <form method="post">. Dat is genoeg om de ingevulde gegevens op de URL te laten verschijnen. Als dat een pagina oplevert die onderdelen van derde partijen laadt dan krijgen die van de browser de URL van de pagina die ernaar verwijst als referer-header, en dan is het kwaad geschied.

Als dit is wat er is misgegaan dan vergde het ontdekken van de fout niet meer dan dat het iemand opeens opviel dat het net ingetypte wachtwoord leesbaar in de adresbalk van de browser verscheen.
09-11-2018, 15:07 door Anoniem
Door Anoniem:
Door The FOSS:
Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Kijk! Zie je wel dat bedrijven wat over hebben voor mensen die bugs vinden en melden!

Mijn gezicht doet nog steeds pijn van de facepalm toen ik de 'beloning' voor het eerst las.

Gelukkig zijn er nog voldoende onderzoekers die het er om te doen is internet veiliger te maken en niet om een zo groot mogelijke beloning.

Had je liever een t-shirt gehad? Wij geven trouwens niets en toch krijgen we nog aardig wat meldingen. Al is het aantal meldingen over gebrek aan een SPF of CAA record (nu opgelost) of clickjacking (gelukkig?) wel fors meer dan de meldingen over zaken die echt een probleem opleveren, zoals SQLi en XSS.

Peter
09-11-2018, 15:30 door Korund
Door de fout waren de inlognamen en het wachtwoord kort zichtbaar
Whaaa! Het is weer eens zo ver! Beginnersfout. Nooit wachtwoorden in plain text opslaan.
09-11-2018, 17:33 door Anoniem
Door Anoniem:
Door The FOSS:
Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Kijk! Zie je wel dat bedrijven wat over hebben voor mensen die bugs vinden en melden!

Mijn gezicht doet nog steeds pijn van de facepalm toen ik de 'beloning' voor het eerst las.
Ik mis het kraakje bij de koffie..

Maar dat is slechts een detail natuurlijk..
09-11-2018, 18:31 door Anoniem
Door Korund:
Door de fout waren de inlognamen en het wachtwoord kort zichtbaar
Whaaa! Het is weer eens zo ver! Beginnersfout. Nooit wachtwoorden in plain text opslaan.

Wachtwoorden worden niet in plain text opgeslagen, maar met een SHA256 versleutering
09-11-2018, 20:31 door [Account Verwijderd]
Door Briolet:
Door Anoniem:
Door The FOSS:
Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Kijk! Zie je wel dat bedrijven wat over hebben voor mensen die bugs vinden en melden!

Mijn gezicht doet nog steeds pijn van de facepalm toen ik de 'beloning' voor het eerst las.

In de tekst op nu.nl staat het toch een nuance anders. Er staat alleen dat hij een kopje koffie op het kantoor gedronken heeft. Niet dat dit de (enige) beloning was. Hoewel dat zeker niet uit te sluiten is vind ik het steeds weer storend dat een verhaal aangedikt wordt bij het citeren.

Ach, het is gewoon humor. Misschien heb je daar geen antenne voor. Dat kan. En met nadruk: dat is geen gebrek. Niet iedereen heeft dezelfde humorperceptie, laat staan heeft perceptievermogen voor humor (dat zijn twee verschillende dingen)
Ik vond hem ook wel spitsvondig. Pittige humor die raakt aan snoeihard sarcasme is iets wat hier te vaak ontbreekt.
09-11-2018, 21:34 door Anoniem
Door Anoniem:
Door Anoniem: Haha kijk dit zijn dan weer precies van die gedragingen waardoor responsible disclosure nooit gaat werken. Die kennis om vulnerabilities te vinden komt je zeker ook zomaar aanwaaien dus waarom daarvoor betalen? (Ok in dit geval was het natuurlijk ook niet bijster moeilijk)

Tja kansloos dus van AH om de plaintext wachtwoorden niet goed te beschermen.
Dit kan zoiets stoms zijn als een HTML-aanlogformulier waarin <form method="get"> stond in plaats van <form method="post">. Dat is genoeg om de ingevulde gegevens op de URL te laten verschijnen. Als dat een pagina oplevert die onderdelen van derde partijen laadt dan krijgen die van de browser de URL van de pagina die ernaar verwijst als referer-header, en dan is het kwaad geschied.

Als dit is wat er is misgegaan dan vergde het ontdekken van de fout niet meer dan dat het iemand opeens opviel dat het net ingetypte wachtwoord leesbaar in de adresbalk van de browser verscheen.

Kijk dat lijkt mij het meest waarschijnlijk en heeft dus niks te maken met openslag van wachtwoord of hashes, etc.
09-11-2018, 23:20 door Anoniem
Door Anoniem:
Door Anoniem:
Door The FOSS:
Albert Heijn heeft de persoon die het datalek meldde beloond met een kopje koffie en een bezoek aan het kantoor.

Kijk! Zie je wel dat bedrijven wat over hebben voor mensen die bugs vinden en melden!

Mijn gezicht doet nog steeds pijn van de facepalm toen ik de 'beloning' voor het eerst las.

Kan makkelijk zijn dat dat "bezoek aan het kantoor" weer een schat aan nieuwe informatie heeft opgeleverd, zoals
aan schermen geplakte wachtwoorden e.d. dus wieweet was het een goede beloning?

Die ene kop verse koffie, uiteraard met een plak koek met roomboter, kan wel eens de aanleiding tot een heel interessant gesprek zijn geweest. Daar zie ik Albert Heijn wel voor aan. Bekijk het eens van de zonnige kant.

Grote kans dat de verantwoordelijke HRM officer en ICT security manager bij Albert Heijn de eerlijke vinder, of anders wel diens handige zoontje of pientere nichtje, een ICT functie of een AH-traineeship daartoe heeft aangeboden.

Klantenbinding, heet dat. De gelegenheid grijpen. Daar weet Neerlands grootgrutter alles van. Want probeer tegenwoordig nog maar eens daadwerkelijk goed gekwalificeerd, ervaren en betrouwbaar ICT security personeel te vinden :-)
10-11-2018, 00:35 door Anoniem
Ja kom nou, service providers, die leveren geen service aan de infantiele consument!
Goud, we zullen het maar kwalificeren als datalek. Opzet is zeer moeilijk te bewijzen maar wel aaneemelijk te maken bij dit soort fouten anno 2018.

GDPR-AVG is al lang in werking dus geef ze een maximale boete op grond van de omzet.
De AH vehoogt de prijsjes wel, dan kan de klant twee keer betalen: een keer voor de boete en een keer met zijn privacy
10-11-2018, 08:49 door -karma4 - Bijgewerkt: 10-11-2018, 08:49
Door Anoniem: Kijk dat lijkt mij het meest waarschijnlijk en heeft dus niks te maken met openslag van wachtwoord of hashes, etc.

Klinkt inderdaad als het meest waarschijnlijk. Ook een grove fout trouwens. Wachtwoordinformatie in POST via een SSL verbinding wordt versleuteld. Maar dat geldt natuurlijk niet voor de URL (waarin wachtwoordinformatie terecht komt bij een GET). Dus ook hier geldt eigenlijk: hoe verzinnen ze het, om dat zo te doen!
10-11-2018, 09:18 door karma4
Door The FOSS:
Door Anoniem: Kijk dat lijkt mij het meest waarschijnlijk en heeft dus niks te maken met openslag van wachtwoord of hashes, etc.

Klinkt inderdaad als het meest waarschijnlijk. Ook een grove fout trouwens. Wachtwoordinformatie in POST via een SSL verbinding wordt versleuteld. Maar dat geldt natuurlijk niet voor de URL (waarin wachtwoordinformatie terecht komt bij een GET). Dus ook hier geldt eigenlijk: hoe verzinnen ze het, om dat zo te doen!
Eenvoudig: open source gebruiken .. het werkt toch.... Anderen hebben er over nagedacht dus investeer er geen tijd in om te kijken of het echt goed zit. UItrollen, time to market deadline halen.
10-11-2018, 10:33 door Briolet
Door Anoniem: J… Opzet is zeer moeilijk te bewijzen maar wel aaneemelijk te maken bij dit soort fouten anno 2018.

Als jij zo'n harde beschuldiging uit, moet je dat ook toelichten. Zeker als je beweerd dat aannemelijk te maken is. Normale mensen zien er nml geen logica in waarom AH wachtwoorden via leesbare tekst in een url balk aan partners doorspeelt.
10-11-2018, 10:58 door Anoniem
Door Anoniem:
Door Anoniem: Haha kijk dit zijn dan weer precies van die gedragingen waardoor responsible disclosure nooit gaat werken. Die kennis om vulnerabilities te vinden komt je zeker ook zomaar aanwaaien dus waarom daarvoor betalen? (Ok in dit geval was het natuurlijk ook niet bijster moeilijk)

Tja kansloos dus van AH om de plaintext wachtwoorden niet goed te beschermen.
Dit kan zoiets stoms zijn als een HTML-aanlogformulier waarin <form method="get"> stond in plaats van <form method="post">. Dat is genoeg om de ingevulde gegevens op de URL te laten verschijnen. Als dat een pagina oplevert die onderdelen van derde partijen laadt dan krijgen die van de browser de URL van de pagina die ernaar verwijst als referer-header, en dan is het kwaad geschied.

Als dit is wat er is misgegaan dan vergde het ontdekken van de fout niet meer dan dat het iemand opeens opviel dat het net ingetypte wachtwoord leesbaar in de adresbalk van de browser verscheen.
Dat weet ik want zulke zaken rapporteer ik ook wel eens. Je loopt dan wel het risico dat de wachtwoorden ook in tussenliggende proxies of wifi ap's voor enige tijd gelogd worden dus extra reden om je bestaande ww bij AH te wijzigen en niet te hergebruiken bij andere diensten.

Maar dat neemt niet weg dat wanneer je deze kennis opdoet en steeds complexere vulnerabilities weet te vinden hier veel tijd in gaat zitten welke imho degelijk beloond horen te worden. Een veilig internet is nobel maar daar koop je geen brood van.
10-11-2018, 11:33 door Anoniem
Door karma4: Eenvoudig: open source gebruiken .. het werkt toch.... Anderen hebben er over nagedacht dus investeer er geen tijd in om te kijken of het echt goed zit. UItrollen, time to market deadline halen.
Dit heeft geen donder te maken met de vraag of er open of closed source is gebruikt, dit is gewoon een van de mogelijkheden die HTML en HTTP ondersteunen en elk framework dat genoeg mogelijkheden biedt om voor enigzins geavanceerd gebruik geschikt te zijn ondersteunt dat ook, ongeacht of het open of closed source is.

Je gebruikt dergelijke frameworks trouwens inderdaad om niet al het denkwerk zelf te hoeven doen. Net zoals je een hogere programmeertaal gebruikt om geen assembler te hoeven schrijven, zoals je libraries gebruikt om wielen niet opnieuw uit te hoeven vinden, zoals je besturingsystemen gebruikt om niet zelf uit te hoeven vogelen hoe al dat resource, process en user management moet worden geïmplementeerd.

Als jij de IT-achtergrond hebt waar je regelmatig prat op gaat dan weet je dat verdomd goed. Dit soort frames zijn geen argumenten, karma4, het zijn leugens. Iemand in een organisatie die zich opstelt zoals jij doet met dit soort opmerkingen is een spaak in het wiel die dingen mis doet lopen. Met een professionele staat van dienst zou je beter moeten weten dan je te verlagen tot dit soort gemanipuleer.

(Ik ben degene die gisteren 14:55 suggereerde dat het method="get" in plaats van "post" kan zijn geweest.)
10-11-2018, 12:00 door Anoniem
Ik heb geen brief van Albert Heijn ontvangen maar wel 2x een afpersingsemail waarin mijn wachtwoord voor mijn AH account genoemd werd. Als ik niet heel gauw geld overmaakte dan zouden mij facebook vrienden onsmakelijke filmpjes van mij te zien krijgen. Wachtwoord gewijzigd en de eerste afpersingsmail verwijderd. Na een paar weken weer zon mail o tvangen met mijn oude ondertussen gewijzigde wachtwoord er in vermeld. Dus AH heeft niet iedereen benaderd en niet van iedereen WW gereset.
10-11-2018, 15:07 door Anoniem
@ anoniem van 10:58

Ik doe dat al twaalf jaar en bezit dus heel wat relevante kennis op het vlak van website security, maar hoe kan je met veiligheidsverbeteringen opboksen tegen een wereld, die dat juist niet wil vanwege bepaalde gevestigde interessen.

Facebook wil TLS session resumption tracking niet terugbrengen van een week nu naar maximaal 10 uur max., hetgeen security experts voorstellen. Ze blijven een van origine veiligheidsprotocol dus misbruiken voor 3rd party adtracking en geen hond die er wat aan meent te moeten doen, Dat is allemaal nog erger!

Soms neemt Big Tech de boetes gewoon op de koop toe omdat voor hen het winstbelang groter is dan het handhavinsgsbelang. Men weet dat men too big too fail is, de handen boven het hoofd gehouden wordt door machtige veiligheidsdienstenen en dus makkelijk overal lak aan kunnen hebben. En men komt er vaak via lobby en met hulp van de collaborerende politiek nog mee weg ook.

Even een reputatie managment cursusje doen en klaar is de CEO-manager. Het succes en het profijt is voor hem en als het misgaat, wordt de klant en de maatschappij hiermee opgezadeld. Dat is de gang van zaken, waar je weinig risico loopt, maar dan moet je wel (bijna) monopolist zijn. Ga als idealist en purist er maar aan staan.
We zitten er meestal bij op een krukje, TINF IT dan ;)

Grote verschillen tussen de leer en de praktijk dus, Probeer het maar eens te veranderen. Ja, script evaluatie en error-hunting kost tijd en misschien geld, maar gelovers in dozen- en one-click-oplossingen krijg je moeilijk overtuigd, zeker als ze er zelf geen jota verstand van hoeven te hebben, maar wel de eindbeslissingen nemen. Vaak op een zeer arrogante en grove manier ook nog, vaak als olifanten door de porseleinkast denderend.

Er zou eens een andere verbeterprikkel moeten worden ingebouwd - direct sinkholing misschien? Ik heb dat mee helpen trachten te automatiseren en online geleerd van een van de beste experts op dat gebied uit Midden-Europa. Deze jongeman is zelf als ex-hacker uit zijn land van herkomst moeten opstappen en met een zakenpartner een beveiligingsbedrijf begonnen in Praag, nu onderdeel van een ander gerenommeerd bedrijf. Sinkholen is een kunst apart, maar wel effectief. Alleen hoe sinkhole je in Mainland China en niet alle domeinen overal komen ervoor technisch in aanmerking? Europol doe er eens wat mee.

Blijven we dus qua security op 1 punt staan of gaan we als de flagellanten vooruit? Namelijk 2 stappen voorwaarts en dan weer 1 terug. Het gebeuren bij AH helpt hier dus ook niet echt, en dat moet ieder zich zeer aantrekken!

luntrus
10-11-2018, 20:53 door Anoniem
Door Anoniem:
Maar dat neemt niet weg dat wanneer je deze kennis opdoet en steeds complexere vulnerabilities weet te vinden hier veel tijd in gaat zitten welke imho degelijk beloond horen te worden..

Dus als jij *ongevraagd* heel veel moeite doet om een vulnerability te vinden dan moet iemand jou betalen? En als je nou niets vind? Kun je dan ook gewoon je factuur sturen voor de tijd die jij besteed hebt? Dat zou een mooie wereld worden...

Ik snap heel goed dat AH geen bakken met geld geeft aan de melder; anders staan er morgen honderndveertig "experts" op de stoep die allemaal iets hebben "gevonden". Ik vermoed ook zomaar dat AH inmiddels een bedrijf heeft ingehuurd om de boel door te lichten en die zullen vast wel redelijk worden gecompenseerd voor het werk dat ze worden gevraagd te doen.
11-11-2018, 17:42 door Anoniem
Door Korund:
Door de fout waren de inlognamen en het wachtwoord kort zichtbaar
Whaaa! Het is weer eens zo ver! Beginnersfout. Nooit wachtwoorden in plain text opslaan.

Ik doe dat juist wel. Kan ik tenminste zien wat m'n wachtwoord is als ik het vergeten ben.
13-11-2018, 09:56 door -karma4
Door Anoniem:
Door Korund:
Door de fout waren de inlognamen en het wachtwoord kort zichtbaar
Whaaa! Het is weer eens zo ver! Beginnersfout. Nooit wachtwoorden in plain text opslaan.

Ik doe dat juist wel. Kan ik tenminste zien wat m'n wachtwoord is als ik het vergeten ben.

Inderdaad! En het is vooral ook handig dat ik jouw wachtwoord kan zien als ik het vergeten ben!
13-11-2018, 22:18 door Anoniem
De nieuwe bonuskaart (opnieuw "verplicht" na 3 jaren zonder....) is gebonden aan de persoon door algoritmen en speciale acties daaraan gekoppeld.... ;-)
14-11-2018, 16:37 door Anoniem
Door The FOSS:
Door Anoniem:
Door Korund:
Door de fout waren de inlognamen en het wachtwoord kort zichtbaar
Whaaa! Het is weer eens zo ver! Beginnersfout. Nooit wachtwoorden in plain text opslaan.

Ik doe dat juist wel. Kan ik tenminste zien wat m'n wachtwoord is als ik het vergeten ben.

Inderdaad! En het is vooral ook handig dat ik jouw wachtwoord kan zien als ik het vergeten ben!

Dat kan je niet want alleen ik zelf kan bij mijn back-ups.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.