Datalek: vue bioscopen

Wanneer een bedrijf slachtoffer wordt van een datalek kan dit grote gevolgen met zich meedragen. Dit heeft ook de bioscoopketen VUE ervaren in de zomer van 2023. 

Hoe is dit lek onstaan?

Het ging hier namelijk fout op de website van de bioscoopketen, waar de broncode kon worden ingezien. In deze broncode werd door een hacker een kwetsbare functie gevonden (ookwel een exploit genoemd). Deze functie maakte van grote afbeeldingen kleinere versies, iets wat op veel sites wordt gedaan ten behoeve van de snelheid van de website. Echter kon de hacker via deze functionaliteit toegang krijgen tot geheime sleutels die de database van het bedrijf zouden moeten afschermen. 

IBAN en adresgegevens van bezoekers op straat

Binnen deze database werden de betalingen verwerkt wanneer iemand een bioscoop ticket kocht. Hierdoor waren in deze database dan ook alle IBAN’s te vinden in combinatie met de NAW gegevens van de klant. 

Dit is een ware goudmijn voor criminelen:

  • Met de combinatie IBAN en NAW gegevens kunnen veel gerichtere phishing aanvallen worden verstuurd naar de personen wiens data gelekt is
  • Ook kan een crimineel met deze combinatie gemakkelijker indentiteits fraude uitvoeren door over deze combinatie te beschikken.

Een tweede kwetsbaarheid

Alsof dit nog niet genoeg was werd er ook een tweede kwetsbaarheid gevonden. Hier ging het op de inlogpagina van de database. Hier was een zogeheten SQL-injectie mogelijk. Met deze cyberaanval kan een hacker kwaadwillende code invoeren. Deze code stelt de hacker in staat om de database uit te lezen, aan te passen of bijvoorbeeld compleet te verwijderen. 

Was dit te voorkomen?

Het lek betreft een exploit van een vrij basale security tekortkoming. Zo bieden bedrijven zoals Carthago ICT security scans en pentesten aan die dit soort exploits pro actief opsporen. Tijdens een test als deze wordt er gekeken of SQL-injecties mogelijk zijn en wordt de online omgeving uitvoerig getest op functionaliteiten die te veel informatie doorgeven. 

Wanneer het in het huidige IT landschap mogelijk is om bijvoorbeeld een SQL-injectie te doen zal de security specialist dit meenemen in de rapportage. Door dit inzicht kan jouw orgsanisatie dergelijke tekortkomingen oplossen voor ze door kwaadwillende worden misbruikt. 

Komen deze tekortkomingen vaak voor?

Functionaliteiten die te veel informatie prijs geven komen we helaas nog vaak tegen in applicaties. Een kleine nuance hierbij is wel dat we dit vooral zien wanneer je als bestaande gebruiker bent ingelogd in een omgeving. Een schrale troost is in dat geval dat de hacker dus ook eerst nog toegang nodig heeft tot een gebruikers account. 

Wil je een veilige applicatie waarborgen? Dan test je in de meest ideale situatie op dit soort tekortkomingen voor livegang van de applicatie. In de praktijk gebeurt dit echter vaak niet en hierdoor kunnen applicaties die in gebruik zijn bij jouw organisatie beschikken over dit soort tekortkomingen. 

Het is dan ook verstandig (periodiek) te testen op dit soort tekortkomingen, voor livegang, maar ook als de applicatie al een tijd draait. 

Samenvatting:

Wanneer een bedrijf slachtoffer wordt van een datalek kan dit grote gevolgen met zich meedragen. Dit heeft ook de bioscoopketen VUE ervaren in de zomer van 2023.

Inhoud van blog

Auteur van deze blog: