Legoland Duitsland lekt via IDOR-kwetsbaarheid gegevens duizenden klanten
Legoland Duitsland heeft via een IDOR-kwetsbaarheid de gegevens van duizenden klanten gelekt. Alleen het aanpassen van een getal in een url was voldoende om reserveringsgegevens te downloaden die teruggingen tot 2015. Het gaat onder andere om verblijfsperiode, namen en adresgegevens van klanten die de reservering voor Legoland maakten, alsmede de personen die bij hen waren.
Een gast ontdekte het datalek op kinderlijk eenvoudige wijze. Via een url kon hij zijn eigen reservering bekijken. Deze url zag er zo uit: mylogin.legolandholidays.de/api/anmeldung/document/100001/0/CONFIRMATION. Door het aanpassen van het getal zag de gast de reservering van een ander gezin. Alle reserveringen waren oplopend en eenvoudig als pdf-document te downloaden. Het aantal reserveringen ging door tot het getal 604104.
In een reactie tegenover Heise Online laat Legoland weten dat het zes maanden geleden een nieuw reserveringssysteem introduceerde dat het datalek veroorzaakte. Het systeem biedt gasten binnen de nieuwe klantenportaal een overzicht van historische reserveringsgegevens. Sinds de overstap naar het nieuwe systeem waren de klantgegevens van de afgelopen zeven jaar zichtbaar. Het systeem is inmiddels uitgeschakeld en het datalek gemeld bij de privacytoezichthouder. Tevens is er een uitgebreid onderzoek naar het datalek aangekondigd.
IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.
Zo kreeg de Infectieradar van het RIVM met een IDOR-kwetsbaarheid te maken waardoor vertrouwelijke gegevens van deelnemers voor derden toegankelijk waren. De webwinkel van Blokker lekte op deze manier klantgegevens en bij een Weens bedrijf zorgde een IDOR-kwetsbaarheid ervoor dat de uitslagen van 136.000 coronatests lekten. Een IDOR-kwetsbaarheid zorgde bij Belastingsamenwerking West-Brabant ervoor dat de gegevens van een onbekend aantal belastingplichtigen in de regio lekten en Britse gemeenten en districten lekten op deze manier privégegevens van duizenden Britten met een belastingschuld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.