Klantgegevens van Belgische Delhaize-dochter openbaar door lek

Via de website van een dienst van de Belgische supermarktketen Delhaize zijn een tijd lang de persoonlijke gegevens van klanten te zien geweest. Dat meldt onder andere de consumentenorganisatie Test-Aankoop vrijdag na eigen onderzoek.

Het gaat om de thuisleveringsdienst Caddy-Home. Daarmee kunnen klanten via het internet producten van Delhaize bestellen om die vervolgens op een later moment te laten bezorgen. De supermartketen is met ruim 770 Belgische vestigingen geen kleine speler.

Een klant ontdekte dat met een eenvoudige zoekopdracht in Google zijn persoonlijke gegevens waren te raadplegen op de site van de dienst. De klant waarschuwde Test-Aankoop, die zo van meerdere klanten de namen, adressen en telefoonnummers wist op te zoeken. Ook Tweakers wist verschillende persoonlijke gegevens op te rakelen via de cache van Google. Daaruit bleek dat sessies niet correct werden afgesloten.

Test-Aankoop laat weten meteen contact opgenomen te hebben met Delhaize voor het signaleren van het probleem. "Al vlug liet Delhaize weten dat het probleem zich enkel voordeed bij klanten die niet uitlogden na het raadplegen van de website. Dat is een onaanvaardbare situatie. De site van Caddy-Home had daarop moeten voorzien zijn. Heel wat mensen verlaten een website zonder uit te loggen", aldus de organisatie.

De website van Caddy-Home is inmiddels offline 'ten gevolge van een technisch probleem', zo valt er te lezen. Het is nog niet duidelijk hoe de programmeerfouten, die te voorzien lijken, in de site van Delhaize hebben kunnen sluipen.

Door Yoeri Nijs

Nieuwsposter

Feedback • 06-03-2015 19:47
20 • submitter: Enai

06-03-2015 • 19:47

20

Submitter: Enai

Lees meer

Details over onderzeeërs van Frans bedrijf komen vrij bij datalek
Details over onderzeeërs van Frans bedrijf komen vrij bij datalek Nieuws van 24 augustus 2016
Black Hat-bezoekersenquête: 73 procent verwacht ernstig datalek binnen een jaar
Black Hat-bezoekersenquête: 73 procent verwacht ernstig datalek binnen een jaar Nieuws van 16 november 2015
Aanvallers maken creditcardinformatie buit bij hack Britse tak Dixons
Aanvallers maken creditcardinformatie buit bij hack Britse tak Dixons Nieuws van 9 augustus 2015
Supermarktketen Delhaize begint met mobiel betalen via qr-codes
Supermarktketen Delhaize begint met mobiel betalen via qr-codes Nieuws van 3 april 2015
Beheerder Telenet-actiesite ontkent gebruikersgegevens door te verkopen
Beheerder Telenet-actiesite ontkent gebruikersgegevens door te verkopen Nieuws van 15 december 2014
Test-Aankoop begint petitie tegen televisiedecoders
Test-Aankoop begint petitie tegen televisiedecoders Nieuws van 18 februari 2013
Meer producten en artikelen
Netwerk en systeembeheer Datalek

Reacties (20)

-Moderatie-faq
20
20
16
0
0
0
Wijzig sortering
Anoniem: 399752 6 maart 2015 20:41
Toch blijf ik me verbazen over dit soort dingen. Hoe kan het dat zoiets door de tests heen komt. Vast weer een of ander extern bedrijf met een projectmanager waar het allemaal snel snel moet. Scrummetje hier, bak met geld daar en happetee naar productie die handel.
Foamy @Anoniem: 3997526 maart 2015 20:53
Tsja. Zolang de beveiling van sites en de gegevens die door een site verwerkt worden geld blijft kosten en geen intrinsiek onderdeel van de offerte en/of het aanbestedingstraject zal dit altijd voor blijven komen.

Om ICT in zijn algemeen goed en veilig te laten werken is echt niet zo heel ingewikkeld. Het kost alleen geld. Geld dat niet ICT gerelateerde managers vaak liever besparen. Want zonder die dure en vervelende extra beveiligingen werkt het toch ook prima?
Anoniem: 382732 @Foamy6 maart 2015 22:54
Je zou het ook eens om kunnen draaien: kennelijk hebben wel ICT gerelateerde managers (of andere medewerkers) niet goed kunnen uitleggen waarom die extra investering nodig zou zijn. Mijn ervaring met ICT-ers is toch dat ze alleen de technische voor- en nadelen kunnen vertellen, maar het management niet duidelijk kunnen maken wat de waarde is voor de organisatie. En dan krijg je dit soort dingen. ICT is immers geen doel, maar slechts een middel om de bedrijfsvoering te ondersteunen.
Anoniem: 135018 @Anoniem: 3827327 maart 2015 03:57
Je kan dat ook omdraaien... dat basis IT kennis en vaardigheden van gewone medewerkers te ver achteruit loopt. En dan in de zin van veiligheid en risico's...
Apache @Anoniem: 3827327 maart 2015 16:28
GJvdZ hoewel je argument soms opgaat heb ik ook al de andere kant meegemaakt waarbij management gewoon doof is voor elk argument, business waarde of technisch. Zelfs wanneer het heel sterk de richting van je gelijk op gaat. Dat kan zijn omdat ze denken dat je geen gelijk hebt, of je visie gewoon niet delen. Of omdat ze incompetent zijn.

Dit probleem leek mij een soort van test pagina waarin mensen de openstaande sessies op de server konden inkijken die ook teveel informatie gaf. Das gewoon een bug en die had waarschijnlijk achter de nodige monitoring/beheer rechten weggestoken moeten worden. Dat kan iedereen overkomen, testers gaan niet spider'n zoals google dat doet.
flowerp @Anoniem: 3827327 maart 2015 20:28
Mijn ervaring met ICT-ers is toch dat ze alleen de technische voor- en nadelen kunnen vertellen, maar het management niet duidelijk kunnen maken wat de waarde is voor de organisatie.
LOL, jij hebt nog niet vaak in het bedrijfsleven rondgelopen hè?

Hoeveel duidelijker wil je het maken dan: "Als we geen voldoende aandacht aan de security besteden lopen we het risico dat de gegevens van alle klanten op straat komen te leggen".

Het is dan aan de manager of het management om te bepalen of hier wel of niet tijd aan besteed moet gaan worden, en NATUURLIJK kiezen de managers altijd voor de snelle winst. Liever NU live met een "kleine" kans dat het niet helemaal secure is, dan een maand uitstel en een maand extra kosten betalen.

Alles moet snel snel, en goedkoop goedkoop... men probeert overal de hoekjes eraf de snijden en men gokt erop dat het niet te erg fout gaat zolang men er nog zit. Gaat het dan toch gruwelijk fout, dan is de manager die er ooit geen tijd aan wilde laten besteden negen van de tien keer allang al weer vertrokken.

In de bouwsector en diverse andere industrieën zijn hier vrij strenge regels voor; daar moet je een minimale kwaliteit opleveren (ook als het niet om dingen gaan die direct levensbedreigend zouden zijn, zoals het cocoa gehalte in chocolade om maar wat te noemen).

Bij software... wie controleert het? Het lijkt te draaien, maar ondertussen staat menig website te wankelen als een kaartenhuis.
elTigro @flowerp8 maart 2015 19:13
ik ben het met je eens;
maar ik zou wel graag enige referenties van je stelling willen zien :)
dasiro @Foamy6 maart 2015 23:03
Om ICT in zijn algemeen goed en veilig te laten werken is echt niet zo heel ingewikkeld. Het kost alleen geld.
spijtig dat er geen "kortzichtigheid -1" gegeven kan worden. De tijd en effort dat er moet gestoken worden in het uitzoeken op welke manieren je data allemaal kan worden gestolen is een veelvoud van de gevraagde functionaliteit. Er zijn immers 1001 manieren om deze te onderscheppen op een hoop verschillende plaatsen. In dit geval het indexen van client cache door externe semi-legale spyware (google dus, met hun "we kunnen aan je data, dus mogen we ze ook gebruiken" mentaliteit )
Foamy @dasiro7 maart 2015 08:12
Misschien dat ik het wat simplistisch uitleg, sorry daarvoor. Maar waarom is het keer op keer mogelijk om een ingewikkeld systeem te maken, meerdere systemen aan elkaar te koppelen, maar daarbij de beveiliging compleet te negeren?
dasiro @Foamy7 maart 2015 11:40
omdat beveiliging rekening moet houden met gigantisch veel onvoorziene scenario's en geloof me maar dat bij zulke projecten beveiliging zeker niet compleet genegeerd wordt. Dat kan een beursgenoteerd bedrijf die met zo'n gigantische hoeveelheid persoonsgegevens werkt zich gewoon niet permitteren.

Risicobeperking en fixen van gevonden problemen is doenbaar, maar dit is een naald in een hooiberg zoeken waar er tientallen inzitten. Hoeveel het er zijn weet je niet, maar je gaat die berg niet sprietje voor sprietje verleggen
Anoniem: 85014 @dasiro7 maart 2015 15:03
Dat is redelijk grote onzin. Ik zie niet in waarom de webserver zelfs maar fysiek aan klantengegevens moet kunnen die het zelf niet eens nodig heeft om te functioneren. Laat staan dat je met wat crosssite scripting de data via HTTP zou kunnen dumpen.

Het gaat hier duidelijk over extreem grote incompetentie bij Delhaize. Daarvoor moeten ze geweldig hard beboet worden.

En al die uitleg over dat beursgenoteerde bedrijven bla bla bla dat zich niet kunnen permitteren is gewoon enorme onzin. Beursgenoteerde bedrijven trekken het zich geen bal aan wat er met onze privacy gebeurt. Ze zijn waanzinnig incompetent. Hun programmeurs zijn meestal volstrekt onbekwaam. Geld uitgeven aan security, laat staan opleiding aan mederwerkers over security: vergeet het. Securitybugs uit hun websites halen? Totaal niet. Zelfs een eigen zoekopdracht met Google-Cache doen was voor de mensen van Delhaize al teveel gevraagd.

Neen, een consumentenorganizatie als testaankoop en de mensen van tweakers.nl moeten de security van Delhaize testen.

Ik ben zelf nu zo'n 14 jaar programmeur. Geloof me maar dat veilige software schrijven absoluut wel kan. Geloof me ook maar dat de meeste bedrijven het zichzelf totaal niet aantrekken.

De oplossing is deze bedrijven zwaar te beboeten wanneer het misloopt. De speeltijd is namelijk gedaan.
flowerp @dasiro7 maart 2015 20:32
De tijd en effort dat er moet gestoken worden in het uitzoeken op welke manieren je data allemaal kan worden gestolen is een veelvoud van de gevraagde functionaliteit.
Inderdaad, het is eigenlijk een soort halting probleem. Je kunt niet aantonen dat iets 100% secure is, je kunt alleen aantonen dat iets niet secure is door een duidelijk gat te vinden.

Toch vind ik dit wel een heel gek lek. Een sessie die ook toegankelijk is voor Google (en dus naar ik aanneem iedereen?). Daar moet je bijna moeite voor doen om dat voor elkaar te krijgen.
spijtig dat er geen "kortzichtigheid -1" gegeven kan worden
Ja, heb ik geloof ik wel eens voor gelobbied. Je hebt opmerkingen die opzich wel ontopic zijn, maar gewoon "dom", "idioot", "kortzichtig" zijn of gewoon domweg "fout". Het Tweakers moderatie systeem geeft je eigenlijk geen handvaten om dat goed te modereren.
Anoniem: 399752 @Foamy6 maart 2015 21:03
Allemaal leuk en aardig, maar zorg dan dat het volledig bij een externe partij ligt en blijft liggen. Volledig dichtgespijkerd met bijbehorende contracten.

Als je dan meent dat je de ontwikkeling bij een externe partij moet doen, zelf de acceptatietest doet, zorg dan dat je een kleine IT afdeling hebt waar een hoop kennis aanwezig is. Ik krijg vaak het idee dat nu Karel van de afdeling Logistiek gevraagd wordt ergens naar te kijken omdat die zo handig is met Windows en een thuisnetwerkje heeft gebouwd.

Ik stem in met bepaalde voorwaarden. Het is jammer dat iedere je er blijkt dat die voorwaarden niet nagekomen worden. Een hack kan je niet altijd voorkomen als bedrijf, maar 99% van de tijd is het gewoon grove nalatigheid en had het makkelijk voorkomen kunnen worden.
Anoniem: 328374 @Anoniem: 3997527 maart 2015 18:56
Onlangs een wagen gekocht. Op de website van de fabrikant kan je inloggen met je klantnummer in de query string. Dus test ik even mijn klantnummer +1 en -1 en ja hoor, alweer een "lek" gevonden. Ik meld dit aan de fabrikant die dat zogenaamd ernstig neemt en tot nu toe kan je al de aankopen van hun klanten raadplegen, met enkele basis persoonsgegevens erbij. Nu vind ik dat zelf niet zo erg, ben particulier en ik spreek over basis persoonsgegevens zoals naam, voornaam, adres en telnummer, welke wagen je gekocht hebt + opties, maar het is dus wel degelijk schering en inslag en volgens mij een gebrek aan inzicht wat met die informatie kan gedaan worden (de concurrentie zal dat wel enigszins waardevolle marketing info vinden) en of dit wel of niet hun klanten verveeld.

Ik pleit voor een striktere regulering en een vergunning om met klantgegevens om te gaan (die na een audit kan verstrekt worden bvb).
flowerp @Anoniem: 3283747 maart 2015 20:37
Ik pleit voor een striktere regulering en een vergunning om met klantgegevens om te gaan (die na een audit kan verstrekt worden bvb).
Hier wordt al langer naar gevraagt door profesionals, net zoals wat minieme eisen qua opleiding (HBO of WO is toch wel minimaal).

Maar ja, dan gaan alle 16 jarige en niet opgeleiden weer keihard steigeren dat opleidingen opzich volledig onzin zijn, want ze zijn zelf 16 en hebben een site of tegenwoordig app gemaakt en die loopt perfect! Opleiding is dus nergens voor nodig!

Zie dit "leuke" (lees in en in TRIESTE) draadje: [Alg] Nut van WO Informatica als software developer *
Mijzelf 6 maart 2015 20:54
Ik ben heel benieuwd hoe dat werkt. Doordat ik niet uitlog kan Google mijn gegevens vinden? Hoezo dan? Kan Google het dan ook vinden als mijn sessie nog loopt en ik nog bezig ben?
drfisheye @Mijzelf6 maart 2015 22:08
Ik vind het ook een vreemde uitleg. Ik vermoed dat de woordvoerder van de organisatie de echte uitleg niet heeft begrepen.
Anoniem: 382732 @drfisheye6 maart 2015 22:55
Of de vraagsteller van Test-Aankoop. Dat is de Vlaamse variant van de Consumentenbond, dus hoeveel snappen die van IT?
biglia 6 maart 2015 23:19
Ik zie in Google cache dat alle pagina's eindigen op .asp wat er wijst dat dit nog geprogrammeerd is in classic asp. Dat is wel heel oud dus en misschien ook de reden dat het misgelopen is.
Nees 6 maart 2015 20:39
Daar heb ik vandaag niets van opgevangen op m'n werk... Straf.

[Reactie gewijzigd door Nees op 24 juli 2024 16:50]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq