Lek 19: Administrator toegang tot een webshop
Gepubliceerd: Dinsdag 25 oktober 2011
Auteur: Brenno de Winter
Een webshop in concertkaartjes gaf vreemden toegang als beheerder door het standaard wachtwoord voor de beheerder niet te veranderen. Zo waren klantgegevens te achterhalen.
Een tipgever heeft ontdekt dat de beheersomgeving van webshop QQ-Tickets wel erg toegankelijk was. Voor het inloggen als beheerder werd gebruik gemaakt van de gebruikersnaam 'admin' en het wachtwoord 'admin'.
Duizend klanten
De webshop wil geen prijsvechter zijn, maar biedt uitsluitend de betere zitplaatsen bij concerten en theatershows. Daarom is er een relatief klein klantenbestand van iets meer dan duizend klanten, die hierdoor te achterhalen zijn. Tussen de gegevens zitten naam, adres, woonplaats en gekochte tickets. Bankrekeningnummers en creditcardnummers zijn niet leesbaar.
Het lek is niet iets waar we bij Webwereld stijl van achterover slaan, maar het illustreert vooral dat dit probleem erg eenvoudig was te voorkomen. Na melding is het wachtwoord aangepast en daarmee was het probleem uit de wereld. Dit laat weer zien dat iets dat zo standaard is als het gebruiken van een goed wachtwoord ook echt noodzakelijk is. Dat is ook de reden dat dit als lek is gekozen.
Te onhandig
Het bedrijf heeft het Thuiswinkel Waarborg, dat geen andere eisen stelt aan de beveiliging dan het hebben van een versleutelde verbinding voor het versturen van klantgegevens. Desgevraagd erkent QQ Tickets ook geen andere eisen te hebben gekregen.
De bron noemt dit allemaal 'te onhandig' en wijst erop dat je weinig hebt aan een veilige verbinding en een goede site als je de informatie vervolgens via de achterdeur weggeeft.
QQ Tickets erkent het falen en reageert merkbaar geschrokken.
Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.
