Het probleem speelde in een beheersomgeving bij het marketingbureau, waarin een ouder lek zat. Hierdoor waren de naam, het geslacht, de geboortedatum en het e-mailadres van deelnemers van een marketingcampagne toegankelijk. Het lek is ontdekt door Henriëtte van het Genootschap van Hackende Huisvrouwen, die het meldde bij Webwereld.

amfphp

Het bedrijf draaide een oudere versie van amfphp, een tool waarmee via de browser door data in een database kan worden gescrolled. Door het lek was het mogelijk om zonder aan te melden de gegevens te benaderen en ook een dump van alle data te maken.

Hierdoor waren ook de inloggegevens van beheerders toegankelijk, waaronder 7 accounts van medewerkers van Bol.com. De wachtwoorden waren wel gehashed opgeslagen, en omdat de wachtwoorden goed gekozen waren vielen ze niet te achterhalen. Verder waren drie databases met testgegevens toegankelijk.

Snelle actie

Bol.com reageerde alert en geschrokken na de melding door Webwereld. Binnen tien minuten was de betreffende server offline en er is direct een onderzoek gestart om de vraag te beantwoorden waar dit is misgegaan. Daarbij werkte het bedrijf samen met Henriëtte om te voorkomen dat zaken over het hoofd werden gezien. Inmiddels zijn de fouten verholpen. Ook worden gegevens nu versleuteld opgeslagen. Een mogelijk nieuw lek moet geen toegankelijke gegevens meer opleveren.

“Uit uitgebreid onderzoek blijkt dat buiten de tipgever niemand daadwerkelijk toegang tot de data heeft verkregen", vertelt Daniel Ropers, directeur van Bol.com tegen Webwereld. Hij is blij met de melding, maar zegt ongelukkig te zijn dat dit is gebeurd. “De tipgever heeft deze gegevens niet misbruikt en ze inmiddels vernietigd."

Informeren

“Omdat het vertrouwen van onze klanten de basis vormt voor bol.com, hebben we de klanten die aan de betrokken marketingcampagne hebben deelgenomen inmiddels op de hoogte gesteld, ook al is het inmiddels vrijwel zeker dat de data niet zijn uitgelekt", vertelt Ropers.

Hij erkent verantwoordelijk te zijn voor de gegevensverwerking bij een marketingactie en heeft daarom besloten strenger toezicht te gaan houden bij toeleveranciers. “Hoewel het hierbij om systemen bij een ander bedrijf gaat, voelen we ons natuurlijk verantwoordelijk voor de veiligheid van de gegevens van onze klanten", zegt Ropers. “Naar aanleiding van dit incident hebben we de controle sterk geïntensiveerd, om ook actief en inhoudelijk te kunnen controleren en te borgen dat de IT security aan de hoge Bol.com-standaard voldoet."

Tevreden

Ondertussen zegt de hacker tevreden te zijn over de aanpak van Bol.com. “Er is goed geluisterd en naar het probleem gekeken", vertelt Henriëtte tegen Webwereld. “Hopelijk schudt dit ook andere bedrijven wakker die nu luchtiger over beveiliging denken. Verder lijkt Bol.com het best wel aardig te doen zo."

Wel waarschuwt ze nog voor het gebruik van amfphp. “Als je dit publiek toegankelijk maakt dan is dat niet zonder risico. Er zit namelijk nog wel eens een fout in, kan ik zeggen. Het is niet mijn eerste melding deze week."