Privédata van ruim 100.000 Bavaria-klanten gehackt
Gepubliceerd: Maandag 13 februari 2012
Auteur: Brenno de Winter
Een hacker heeft een database gekraakt en persoonlijke gegevens van honderdduizenden mensen toegangkelijk gemaakt. Het gaat onder andere om de naw-gegevens van Bavaria-klanten.
De hacker kraakte de beveiliging van marketingbureau en applicatie-ontwikkelaar Creation Point. Dat blijkt uit onderzoek naar de herkomst van gepubliceerde informatie van KPN-klanten. In het kielzog van die zaak kwam een nieuw lek aan het licht, waarbij een MySQL-database zonder wachtwoord beheerderstoegang aan willekeurige gebruikers geeft.
Geen beveiliging
De database is aan het internet gekoppeld via een webserver, die onbeveiligd was. Zo bleek het mogelijk om overal vandaan in te loggen omdat ip-adressen niet worden gefilterd. Hierdoor zijn tientallen databases toegankelijk, waarbij een aantal over persoonsgegevens beschikt.
Twee van de databases horen toe aan bierbrouwer Bavaria, die in het kader van marketingacties informatie van respectievelijk 133.000 en 41.000 personen verzamelden. Daarnaast gaat het om sites van allerhande organisaties variërend van Golfclubs tot webshops. Soms is dat privacygevoelige informatie en soms betreft het websites met informatie waarvan het mogelijk is de inhoud te wijzigen. In totaal zijn er 296 databases gelekt.
Wel beveiliging
Verantwoordelijk voor de server is het bedrijf Creation Point dat de problematiek erkent. Hij benadrukt echter dat toen de server in augustus in gebruik is genomen er een firewall (iptables) heeft gedraaid. Ook bestond er een wachtwoord voor de beheerder (root) van de MySQL-database.
"We zijn gehackt", erkent Bram Mulder, directeur van Creation Point, tegenover Webwereld. Hij is vanaf de melding door Webwereld bezig met de problematiek. Mulder zegt nauwelijks geslapen te hebben sinds het nieuws. Bewijs voor de inbraak trof hij aan in de logboeken. Er is toestemming gegeven om alle tabellen te benaderen vanuit andere accounts en het beheerderswachtwoord is gewist. Inmiddels is aangifte gedaan bij de politie.
Tijdens het onderzoek naar de hack is een reeks servers offline gehaald om te kijken of er op meerdere servers is ingebroken.
Afspraak
"Bavaria is naast enkele tientallen andere bedrijven gedupeerd van een inbraak die op de server van een leverancier, Creation Point, heeft plaatsgevonden. Op de betreffende server draaiden enkele tientallen websites van vele bedrijven en stonden verschillende bestanden, waaronder die van Bavaria", zegt Inge van der Heijden, Corporate Communication Manager van Bavaria tegen Webwereld.
Volgens Bavaria is het aantal records lager dan de optelsom van de twee aangetroffen databases. "Het bestand van Bavaria bevat 132.934 Records van mensen die deegenomen hebben aan een actie. Het betreft alleen naam, adres, woonplaats-gegevens van deze mensen en geen passwords. We weten niet zeker of het bestand ook is meegenomen door de hacker. We stellen vandaag alle mensen in het bestand op de hoogte van deze inbraak."
Cyber Security Centrum
De website van Creation Point is inmiddels afgesloten, er is een mededeling van het bedrijf over de hack te lezen. Webwereld heeft het Nationaal Cyber Security Centrum op de hoogte gesteld van het euvel, de organisatie houdt een vinger aan de pols.
