De website van Butlon bevatte een lek waardoor de persoonsgegevens van klanten voor de buitenwereld zichtbaar waren. Het enige dat je daarvoor hoefde te doen is een paar cijfers veranderen in de URL-balk. Nadat de maaltijd- en boodschappenbezorger een tip hierover kreeg, heeft ze direct actie ondernomen en het lek gedicht. Dat schrijft Tweakers.net. De techsite ontving een tip hierover via Publeaks. Dat is een klokkenluidersplatform waar diverse media, waaronder Tweakers.net, bij is aangesloten.
Butlon is een bedrijf uit Enschede waar klanten maaltijden kunnen bestellen bij restaurants uit de regio. Naast een maaltijdbezorgingsdienst biedt Butlon ook een supermarktdienst aan. Daarmee kunnen klanten hun dagelijkse boodschappen aan huis laten bezorgen. Ideaal nu vele Nederlanders, al dan niet preventief, in thuisquarantaine zitten.
Via Publeaks kreeg Tweakers.net een tip dat het supermarktgedeelte op de website van Butlon een ernstig beveiligingslek had. Hierdoor kon de hele wereld zien welke boodschappen iemand had besteld. Niet alleen was het mogelijk om het boodschappenlijstje te bekijken: ook zag je in een oogopslag voor welk bedrag je aan boodschappen had laten bezorgen, wanneer en op welk adres. Het enige dat je hiervoor hoefde te doen was het nummer in de URL-balk veranderen. Een serieus datalek waardoor de persoonsgegevens van Butlon-klanten enige tijd op straat lagen.
Klanten hoeven zich niet langer zorgen te maken. Nadat Tweakers.net contact had gezocht met Butlon, heeft het bedrijf direct maatregelen genomen en het gat gedicht. Tegenover de techsite zegt het bedrijf het volgende:
“We hebben extra beveiligingsmaatregelen genomen om onze data beter te beschermen. Een voorbeeld hiervan is dat we nu URL’s van bestellingen randomizen en het is verplicht om in te loggen om oude bestellingen terug te vinden. Daarnaast hebben we de URL uit de bevestigingsmail gehaald die klanten ontvangen.”
Een woordvoerder laat weten dat het bedrijf in de toekomst zogeheten pentests gaat uitvoeren. Pentest staat voor penetratietest. Daarmee is het mogelijk om netwerkactiviteiten te monitoren en snel op te treden tegen ongeautoritseerde toegang en andere vreemde activiteiten op een bedrijfsnetwerk. “We zijn de afgelopen maanden ontzettend hard gegroeid en dan wil dit soort dingen er nogal eens bij inschieten”, zo vertelt de woordvoerder.
Butlon is niet de enige maaltijdbezorgdienst die met een datalek kampte. In juni werd bekend dat Foodora in 2016 was gehackt. Namen, adressen, telefoonnummers en wachtwoorden van 48.000 Nederlanders kwamen daardoor op straat te liggen. Wereldwijd waren de persoonsgegevens van 727.000 klanten uit 14 landen gelekt.
Rickey Gevers van Scattered Secrets waarschuwde dat als deze gegevens in de handen van de verkeerder personen belanden, ze gebruikt kunnen worden voor phishing, identiteitsdiefstal en andere vormen van oplichting. De kans dat hackers hiermee iets zouden uitspoken, was volgens Gevers klein. De wachtwoorden waren gehasht met bcrypt, waardoor het voor de huis-tuin-en-keukencrimineel zeer lastig is om ze te kraken. Volgens de beveiligingsdeskundige kost het “tienduizenden euro’s” om deze beveiliging te omzeilen.
De website van het RIVM Infectieradar.nl bevatte een soortgelijk beveiligingslek als Butlon. De NOS en beveiligingsonderzoeker Tom Wolters ontdekten dat als je een paar getallen verandert in de URL-balk, het mogelijk was om de antwoorden van andere deelnemers te bekijken. Niet alleen antwoorden, maar ook NAW- en contactgegevens, medicijngebruik en medische voorgeschiedenis waren te achterhalen. Het RIVM besloot daarop om de website direct uit de lucht te halen.
Afgelopen zomer heeft de ontwikkelaar flink gesleuteld aan de website en hem volop getest op beveiligingsproblemen. Volgens het RIVM is Infectieradar.nl “veilig en toekomstbestendig”. Nieuwe leden kunnen zich inmiddels aanmelden op de site. De resultaten van de tweede ronde worden begin november verwacht.
