De gegevens van 84.00 klanten van Bol.com zijn een periode toegankelijk geweest door een lek bij een marketingpartner. Daniel Ropers, managing partner van de webwinkel, laat weten dat het lek zat bij het extern gehost nieuwkomersprogramma. De data zijn niet op straat komen te liggen.
Webwereld maakt vanochtend melding van de kwetsbaarheid, na een tip van ene Henriëtte van het Genootschap van Hackende Huisvrouwen. ‘We zijn de tipgever erg dankbaar’, zegt Ropers. ‘En we zijn ook erg opgelucht dat de gegevens van onze klanten niet verspreid zijn. Maar we vinden het verschrikkelijk dat dit aan de hand is geweest.’
Externe server
Ropers spreekt van een technische fout bij een creatief bureau waar Bol.com mee werkt: ‘Ons nieuwkomersprogramma werd gehost op een aparte site. Nieuwe klanten werden uitgenodigd om daar een filmpje te bekijken, om een beter beeld te krijgen van de winkelmogelijkheden bij Bol.com. Hen werd ook gevraagd hun geslacht en geboortedatum op te geven. De informatie werd samen met de naam en het e-mailadres van de klant tijdelijk opgeslagen op een server van de externe partij. Dat is ook een deel van hun dienstverlening.’
Logs nagekenen
De perifere omgeving bleek kwetsbaar voor sql-injecties, waarover de afgelopen maanden meer te doen is geweest. Kwaadwillende experts hadden zich toegang kunnen verschaffen tot de klantgegevens, die tot begin dit jaar niet versleuteld waren, en deze kunnen verspreiden. Hoe dan ook zegt Ropers dat niemand buiten de tipgever toegang heeft gekregen tot de database: ‘We hebben alle logs na kunnen kijken en gelukkig geconstateerd dat er verder niemand inzage heeft gehad in de data. Dat zijn dus andere data dan onze winkeldata, voor de duidelijkheid.’
Stappen
Na binnenkomst van de tip heeft Bol.com de externe server direct offline laten halen. Ook zijn klanten die eind vorig jaar aan de marketingactie hebben deelgenomen geïnformeerd over de situatie. Verder heeft de nummer 2 van de Twinkle100 interne en externe experts ingeschakeld om de opslag van klantdata ook bij andere marketingpartners te kunnen garanderen. Ropers: ‘We gaan die partners doorlichten en schriftelijke verklaringen vragen. De veiligheid moet bij al onze partners van onze standaard zijn.’
Er is op dit moment 0 keer gereageerd op:
Lekkage klantgegevens Bol.com zat bij nieuwkomersprogramma
Je kunt niet meer reageren op dit artikel.