Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties
Submitter: Enai

Via de website van een dienst van de Belgische supermarktketen Delhaize zijn een tijd lang de persoonlijke gegevens van klanten te zien geweest. Dat meldt onder andere de consumentenorganisatie Test-Aankoop vrijdag na eigen onderzoek.

Het gaat om de thuisleveringsdienst Caddy-Home. Daarmee kunnen klanten via het internet producten van Delhaize bestellen om die vervolgens op een later moment te laten bezorgen. De supermartketen is met ruim 770 Belgische vestigingen geen kleine speler.

Een klant ontdekte dat met een eenvoudige zoekopdracht in Google zijn persoonlijke gegevens waren te raadplegen op de site van de dienst. De klant waarschuwde Test-Aankoop, die zo van meerdere klanten de namen, adressen en telefoonnummers wist op te zoeken. Ook Tweakers wist verschillende persoonlijke gegevens op te rakelen via de cache van Google. Daaruit bleek dat sessies niet correct werden afgesloten.

Test-Aankoop laat weten meteen contact opgenomen te hebben met Delhaize voor het signaleren van het probleem. "Al vlug liet Delhaize weten dat het probleem zich enkel voordeed bij klanten die niet uitlogden na het raadplegen van de website. Dat is een onaanvaardbare situatie. De site van Caddy-Home had daarop moeten voorzien zijn. Heel wat mensen verlaten een website zonder uit te loggen", aldus de organisatie.

De website van Caddy-Home is inmiddels offline 'ten gevolge van een technisch probleem', zo valt er te lezen. Het is nog niet duidelijk hoe de programmeerfouten, die te voorzien lijken, in de site van Delhaize hebben kunnen sluipen.

Moderatie-faq Wijzig weergave

Reacties (20)

Toch blijf ik me verbazen over dit soort dingen. Hoe kan het dat zoiets door de tests heen komt. Vast weer een of ander extern bedrijf met een projectmanager waar het allemaal snel snel moet. Scrummetje hier, bak met geld daar en happetee naar productie die handel.
Tsja. Zolang de beveiling van sites en de gegevens die door een site verwerkt worden geld blijft kosten en geen intrinsiek onderdeel van de offerte en/of het aanbestedingstraject zal dit altijd voor blijven komen.

Om ICT in zijn algemeen goed en veilig te laten werken is echt niet zo heel ingewikkeld. Het kost alleen geld. Geld dat niet ICT gerelateerde managers vaak liever besparen. Want zonder die dure en vervelende extra beveiligingen werkt het toch ook prima?
Je zou het ook eens om kunnen draaien: kennelijk hebben wel ICT gerelateerde managers (of andere medewerkers) niet goed kunnen uitleggen waarom die extra investering nodig zou zijn. Mijn ervaring met ICT-ers is toch dat ze alleen de technische voor- en nadelen kunnen vertellen, maar het management niet duidelijk kunnen maken wat de waarde is voor de organisatie. En dan krijg je dit soort dingen. ICT is immers geen doel, maar slechts een middel om de bedrijfsvoering te ondersteunen.
Je kan dat ook omdraaien... dat basis IT kennis en vaardigheden van gewone medewerkers te ver achteruit loopt. En dan in de zin van veiligheid en risico's...
GJvdZ hoewel je argument soms opgaat heb ik ook al de andere kant meegemaakt waarbij management gewoon doof is voor elk argument, business waarde of technisch. Zelfs wanneer het heel sterk de richting van je gelijk op gaat. Dat kan zijn omdat ze denken dat je geen gelijk hebt, of je visie gewoon niet delen. Of omdat ze incompetent zijn.

Dit probleem leek mij een soort van test pagina waarin mensen de openstaande sessies op de server konden inkijken die ook teveel informatie gaf. Das gewoon een bug en die had waarschijnlijk achter de nodige monitoring/beheer rechten weggestoken moeten worden. Dat kan iedereen overkomen, testers gaan niet spider'n zoals google dat doet.
Mijn ervaring met ICT-ers is toch dat ze alleen de technische voor- en nadelen kunnen vertellen, maar het management niet duidelijk kunnen maken wat de waarde is voor de organisatie.
LOL, jij hebt nog niet vaak in het bedrijfsleven rondgelopen hè?

Hoeveel duidelijker wil je het maken dan: "Als we geen voldoende aandacht aan de security besteden lopen we het risico dat de gegevens van alle klanten op straat komen te leggen".

Het is dan aan de manager of het management om te bepalen of hier wel of niet tijd aan besteed moet gaan worden, en NATUURLIJK kiezen de managers altijd voor de snelle winst. Liever NU live met een "kleine" kans dat het niet helemaal secure is, dan een maand uitstel en een maand extra kosten betalen.

Alles moet snel snel, en goedkoop goedkoop... men probeert overal de hoekjes eraf de snijden en men gokt erop dat het niet te erg fout gaat zolang men er nog zit. Gaat het dan toch gruwelijk fout, dan is de manager die er ooit geen tijd aan wilde laten besteden negen van de tien keer allang al weer vertrokken.

In de bouwsector en diverse andere industrieën zijn hier vrij strenge regels voor; daar moet je een minimale kwaliteit opleveren (ook als het niet om dingen gaan die direct levensbedreigend zouden zijn, zoals het cocoa gehalte in chocolade om maar wat te noemen).

Bij software... wie controleert het? Het lijkt te draaien, maar ondertussen staat menig website te wankelen als een kaartenhuis.
ik ben het met je eens;
maar ik zou wel graag enige referenties van je stelling willen zien :)
Om ICT in zijn algemeen goed en veilig te laten werken is echt niet zo heel ingewikkeld. Het kost alleen geld.
spijtig dat er geen "kortzichtigheid -1" gegeven kan worden. De tijd en effort dat er moet gestoken worden in het uitzoeken op welke manieren je data allemaal kan worden gestolen is een veelvoud van de gevraagde functionaliteit. Er zijn immers 1001 manieren om deze te onderscheppen op een hoop verschillende plaatsen. In dit geval het indexen van client cache door externe semi-legale spyware (google dus, met hun "we kunnen aan je data, dus mogen we ze ook gebruiken" mentaliteit )
Misschien dat ik het wat simplistisch uitleg, sorry daarvoor. Maar waarom is het keer op keer mogelijk om een ingewikkeld systeem te maken, meerdere systemen aan elkaar te koppelen, maar daarbij de beveiliging compleet te negeren?
omdat beveiliging rekening moet houden met gigantisch veel onvoorziene scenario's en geloof me maar dat bij zulke projecten beveiliging zeker niet compleet genegeerd wordt. Dat kan een beursgenoteerd bedrijf die met zo'n gigantische hoeveelheid persoonsgegevens werkt zich gewoon niet permitteren.

Risicobeperking en fixen van gevonden problemen is doenbaar, maar dit is een naald in een hooiberg zoeken waar er tientallen inzitten. Hoeveel het er zijn weet je niet, maar je gaat die berg niet sprietje voor sprietje verleggen
Dat is redelijk grote onzin. Ik zie niet in waarom de webserver zelfs maar fysiek aan klantengegevens moet kunnen die het zelf niet eens nodig heeft om te functioneren. Laat staan dat je met wat crosssite scripting de data via HTTP zou kunnen dumpen.

Het gaat hier duidelijk over extreem grote incompetentie bij Delhaize. Daarvoor moeten ze geweldig hard beboet worden.

En al die uitleg over dat beursgenoteerde bedrijven bla bla bla dat zich niet kunnen permitteren is gewoon enorme onzin. Beursgenoteerde bedrijven trekken het zich geen bal aan wat er met onze privacy gebeurt. Ze zijn waanzinnig incompetent. Hun programmeurs zijn meestal volstrekt onbekwaam. Geld uitgeven aan security, laat staan opleiding aan mederwerkers over security: vergeet het. Securitybugs uit hun websites halen? Totaal niet. Zelfs een eigen zoekopdracht met Google-Cache doen was voor de mensen van Delhaize al teveel gevraagd.

Neen, een consumentenorganizatie als testaankoop en de mensen van tweakers.nl moeten de security van Delhaize testen.

Ik ben zelf nu zo'n 14 jaar programmeur. Geloof me maar dat veilige software schrijven absoluut wel kan. Geloof me ook maar dat de meeste bedrijven het zichzelf totaal niet aantrekken.

De oplossing is deze bedrijven zwaar te beboeten wanneer het misloopt. De speeltijd is namelijk gedaan.
De tijd en effort dat er moet gestoken worden in het uitzoeken op welke manieren je data allemaal kan worden gestolen is een veelvoud van de gevraagde functionaliteit.
Inderdaad, het is eigenlijk een soort halting probleem. Je kunt niet aantonen dat iets 100% secure is, je kunt alleen aantonen dat iets niet secure is door een duidelijk gat te vinden.

Toch vind ik dit wel een heel gek lek. Een sessie die ook toegankelijk is voor Google (en dus naar ik aanneem iedereen?). Daar moet je bijna moeite voor doen om dat voor elkaar te krijgen.
spijtig dat er geen "kortzichtigheid -1" gegeven kan worden
Ja, heb ik geloof ik wel eens voor gelobbied. Je hebt opmerkingen die opzich wel ontopic zijn, maar gewoon "dom", "idioot", "kortzichtig" zijn of gewoon domweg "fout". Het Tweakers moderatie systeem geeft je eigenlijk geen handvaten om dat goed te modereren.
Allemaal leuk en aardig, maar zorg dan dat het volledig bij een externe partij ligt en blijft liggen. Volledig dichtgespijkerd met bijbehorende contracten.

Als je dan meent dat je de ontwikkeling bij een externe partij moet doen, zelf de acceptatietest doet, zorg dan dat je een kleine IT afdeling hebt waar een hoop kennis aanwezig is. Ik krijg vaak het idee dat nu Karel van de afdeling Logistiek gevraagd wordt ergens naar te kijken omdat die zo handig is met Windows en een thuisnetwerkje heeft gebouwd.

Ik stem in met bepaalde voorwaarden. Het is jammer dat iedere je er blijkt dat die voorwaarden niet nagekomen worden. Een hack kan je niet altijd voorkomen als bedrijf, maar 99% van de tijd is het gewoon grove nalatigheid en had het makkelijk voorkomen kunnen worden.
Onlangs een wagen gekocht. Op de website van de fabrikant kan je inloggen met je klantnummer in de query string. Dus test ik even mijn klantnummer +1 en -1 en ja hoor, alweer een "lek" gevonden. Ik meld dit aan de fabrikant die dat zogenaamd ernstig neemt en tot nu toe kan je al de aankopen van hun klanten raadplegen, met enkele basis persoonsgegevens erbij. Nu vind ik dat zelf niet zo erg, ben particulier en ik spreek over basis persoonsgegevens zoals naam, voornaam, adres en telnummer, welke wagen je gekocht hebt + opties, maar het is dus wel degelijk schering en inslag en volgens mij een gebrek aan inzicht wat met die informatie kan gedaan worden (de concurrentie zal dat wel enigszins waardevolle marketing info vinden) en of dit wel of niet hun klanten verveeld.

Ik pleit voor een striktere regulering en een vergunning om met klantgegevens om te gaan (die na een audit kan verstrekt worden bvb).
Ik pleit voor een striktere regulering en een vergunning om met klantgegevens om te gaan (die na een audit kan verstrekt worden bvb).
Hier wordt al langer naar gevraagt door profesionals, net zoals wat minieme eisen qua opleiding (HBO of WO is toch wel minimaal).

Maar ja, dan gaan alle 16 jarige en niet opgeleiden weer keihard steigeren dat opleidingen opzich volledig onzin zijn, want ze zijn zelf 16 en hebben een site of tegenwoordig app gemaakt en die loopt perfect! Opleiding is dus nergens voor nodig!

Zie dit "leuke" (lees in en in TRIESTE) draadje: [Alg] Nut van WO Informatica als software developer *
Ik ben heel benieuwd hoe dat werkt. Doordat ik niet uitlog kan Google mijn gegevens vinden? Hoezo dan? Kan Google het dan ook vinden als mijn sessie nog loopt en ik nog bezig ben?
Ik vind het ook een vreemde uitleg. Ik vermoed dat de woordvoerder van de organisatie de echte uitleg niet heeft begrepen.
Of de vraagsteller van Test-Aankoop. Dat is de Vlaamse variant van de Consumentenbond, dus hoeveel snappen die van IT?
Ik zie in Google cache dat alle pagina's eindigen op .asp wat er wijst dat dit nog geprogrammeerd is in classic asp. Dat is wel heel oud dus en misschien ook de reden dat het misgelopen is.
Daar heb ik vandaag niets van opgevangen op m'n werk... Straf.

[Reactie gewijzigd door Nees op 6 maart 2015 20:41]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True