In een blog gaan de beveiligers onder meer in op de technische details van het lek. Daarin delen ze ook screenshots van de softwarecode. Eset
schrijft in een persbericht over het lek: ‘De toegang tot de gegevens
van leaserijders was in de meeste gevallen mogelijk door gaten in een
softwarepakket, dat het merendeel van de Nederlandse leasemaatschappijen
voor hun portaal gebruikt. Weliswaar hadden de maatschappijen allemaal
een eigen versie van het portaal, maar na onderzoek bleek dat ze één
dataserver deelden.’

De beveiliger: ‘Hoewel elke maatschappij een
eigen database op die server had, maakte elk portaal verbinding met
hetzelfde account. Daardoor was het mogelijk om gegevens bij alle
aangesloten leasemaatschappijen op te vragen.’ Het lukte Eset
bijvoorbeeld om zonder problemen de auto- en privégegevens op te vragen
van wagens die bij een andere leasemaatschappij waren ondergebracht. De
beveiligingsexperts zouden eenvoudig toegang hebben gehad tot alle
klantgegevens van maatschappijen die werkten met de bewuste software.

Melden datalek

Volgens Eset-directeur Maasland heeft het
softwarebedrijf adequaat gereageerd op de melding van het lek en zijn de
kwetsbaarheden inmiddels verholpen. Eset ontdekte het lek vorige week
en meldde het vervolgens direct bij CarWise ICT. Volgens die leveranier
zijn de kwetsbaarheden daarna binnen een dag gedicht. CarWise
ICT-directeur René Fabrie meldt aan RTL Nieuws dat na de melding direct
het systeem gesloten is en aanpassingen zijn doorgevoerd. Volgens Fabrie
zijn er geen aanwijzingen dat er gegevens gestolen zijn, maar is dat
niet uit te sluiten. Klanten zijn inmiddels geïnformeerd over het lek. 

Volgens Fabrie moeten klanten zelf afwegen of ze het
datalek melden aan de Autoriteit Persoonsgegevens. Eset-directeur David
Maasland is stelliger. Hij stelt dat, betrokken leasemaatschappijen zich
bij de Autoriteit Persoonsgegevens moeten melden omdat het om een grote
dataset gaat en de kans op misbruik van die gegevens groot is. Ook bij
het vermoeden van dataverlies van privacygevoelige gegevens is een
melding namelijk verplicht.

Bron: Computable.nl