Website Azerty gaf toegang tot adresgegevens klanten - update

Via een tool op de website van webshop Azerty waren de adresgegevens en e-mailadressen van alle klanten toegankelijk. Ook was in te zien wat ze hebben besteld. Met een scraper had een kwaadwillende een database met alle adressen kunnen aanleggen.

 Met behulp van de tool waren de adresgegevens en e-mailadressen van alle Azerty-klanten zichtbaar en was in te zien wat iemand had besteld. Het ging om de gegevens van ruim 750.000 bestellingen. De gegevens waren toegankelijk via een beheer-interface die niet met een gebruikersnaam en wachtwoord was beveiligd, maar openbaar toegankelijk was.

Een medewerker van Azerty verstuurde een link naar de beheer-interface, waarschijnlijk per ongeluk, naar Azerty-klant Sebas Veeke. Via die link was alleen zijn eigen order te zien, maar het id in de url aan te passen waren ook andere orders zichtbaar. "Ik had een geautomatiseerd scriptje kunnen maken dat al die bestelgegevens verzamelt", aldus Veeke. Door met de url te spelen konden ook andere delen van de beheer-interface worden gevonden, zoals een pagina met statistieken waarop was te zien hoe vaak producten worden verkocht.

Veeke had Azerty eerder op dinsdag op het probleem gewezen. "Een medewerker van Azerty zei ervan op de hoogte te zijn en dat het probleem zou worden opgelost", aldus Veeke. "Maar hij bagatelliseerde het probleem." Een paar uur nadat Azerty door Tweakers op het beveiligingsprobleem werd gewezen, werd de tool offline gehaald.

Te Wierik ontkent dat het bedrijf het beveiligingsprobleem bagatelliseert. Hij kan niet aangeven waarom de tool niet met een gebruikersnaam en wachtwoord was beveiligd. "Maar ik wil graag benadrukken dat deze linkjes niet naar iedere klant werden verzonden." Volgens de Azerty-directeur heeft het probleem maar korte tijd opengestaan, maar volgens tipgever Veeke was het halverwege juni al mogelijk om de kwetsbare url te bezoeken.

Update, 6 augustus: Azerty heeft een aanvullende reactie gegeven. "We hebben de situatie intern bekeken en zijn tot de conclusie gekomen dat het inderdaad mogelijk was via een specifieke url uit het beheerportaal klantgegevens in te zien", aldus Azerty-directeur Jeroen te Wierik. "We zijn inmiddels van onze eerste schrik bekomen en ondanks mijn eerdere dreigement, zal ik hier uiteraard niemand om ontslaan. Uit ons onderzoek is gebleken dat er inderdaad een melding was binnengekomen over dit probleem, maar dit niet adequaat is opgepakt.  Hiervoor willen wij dan ook oprecht onze excuses aanbieden. We nemen extra maatregelen om te zorgen dat dergelijke meldingen intern goed worden opgepakt."

Azerty beveiligingsprobleem

©Tweakers