Nieuws
image

Burger King lekt klantgegevens via onbeveiligde database

dinsdag 7 mei 2019, 10:05 door Redactie, 5 reacties
Laatst bijgewerkt: 07-05-2019, 11:28

Fastfoodketen Burger King heeft via een onbeveiligde database bijna 38.000 klantgegevens gelekt. Het gaat om e-mails, wachtwoorden, namen, telefoonnummers, geboortedatum, codes van kortingsbonnen en links naar extern opgeslagen certificaten.

Ook bevatte de database de inloggegevens van 25 beheerders van het CRM-systeem. In dit geval ging het om namen, e-mailadressen en versleutelde wachtwoorden, zo stelt beveiligingsonderzoeker Bob Diachenko. De onderzoeker ontdekte de database op 24 april van dit jaar. Het ging om een Elasticsearch-database die voor iedereen op internet zonder wachtwoord toegankelijk was.

De database bleek van Kool King Shop te zijn, een Franse webwinkel van Burger King. Via de website kunnen klanten die een Burger King-menu hebben gekocht een code invoeren waarmee uit verschillende producten kan worden gekozen. Diachenko waarschuwde de fastfoodketen, waarna de database werd beveiligd. Burger King liet verder weten dat het de nationale autoriteiten over het incident heeft geïnformeerd.

Reacties (5)
07-05-2019, 10:22 door [Account Verwijderd]
Het ging om een Elasticseach-database die voor iedereen op internet zonder wachtwoord toegankelijk was.

Zoiets snap ik echt niet. Het gaat om persoonsgegevens dus je zou verwachten dat een groot bedrijf als dit wel drie keer zou nadenken alvorens dat soort gegevens überhaupt in een database te zetten. Laat staan onbeveiligd via internet benaderbaar.
07-05-2019, 11:19 door karma4
Door Kapitein Haddock: [
Zoiets snap ik echt niet. Het gaat om persoonsgegevens dus je zou verwachten dat een groot bedrijf als dit wel drie keer zou nadenken alvorens dat soort gegevens überhaupt in een database te zetten. Laat staan onbeveiligd via internet benaderbaar.
Het moet zo goedkoop mogelijk, liefst grattis en voor niets. Plak wat OSS spullen bij elkaar en dan is het toch goed. De vrijwilligers lossen alles op en het is geheel veilig wordt gezegd. Goed beheer , goed inrichten is niet gratis.
07-05-2019, 11:33 door Anoniem
Door Kapitein Haddock:
Het ging om een Elasticseach-database die voor iedereen op internet zonder wachtwoord toegankelijk was.

Zoiets snap ik echt niet. Het gaat om persoonsgegevens dus je zou verwachten dat een groot bedrijf als dit wel drie keer zou nadenken alvorens dat soort gegevens überhaupt in een database te zetten. Laat staan onbeveiligd via internet benaderbaar.
Welkom bij Shadow IT....

Vaak even snel iets neer zetten, door personen die eigenlijk niet weten wat ze doen zonder erover na te denken.
En daarna, het werkt toch?
07-05-2019, 16:15 door Anoniem
Wordt het niet eens tijd dat elasticsearch de mode "toegang zonder wachtwoord" uit hun product schrapt?
07-05-2019, 17:29 door Anoniem
Voorbeeld van zo'n log-in, die wel adequaat beschermd is:
http://156.235.224.95/ met Protected Elastisearch met wachtwoord beschermde inlog
of beschermd via Kibana. Zie: https://www.elastic.co/guide/en/x-pack/current/elasticsearch-security.html

Dat is toch wel het minste wat we van de Burger King hadden kunnen verwachten.

Er zijn zelfs kant en klare zoekscriptjes voor in gebruik voor op shodan: als LeakLooker
voor publiek toegankelijke MongoDB, CouchDB and Elasticsearch databases, met Kibana toegevoegd.

Ook al is een website onbeveiligd en staan alle deuren wagenwijd open,
zoals bij onbeschermd publiek toegankelijke Elastisearch databases,
dan nog is zich toegang verschaffen door de site te bezoeken niet toegestaan
en wordt gerekend tot computervredebreuk en daarom strafbaar te zijn.

Je ziet ergens achter de balkondeuren wagenwijd openstaan, toch mag je daar niet naar binnen.
Neen, dat mag echt niet, want dan ben je immers een inbreker of in cybertermen een "intruder".

Aan de andere kant is het Burger King ook verwijtbaar zo onbeschermd met klantgegevens om te gaan.

J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search