Klantgegevens van Bol.com-partner Toppie Speelgoed zijn na hack online te koop

De gebruikersdata van kopers van de speelgoedwinkel Toppie Speelgoed zijn op een hackersforum te koop. Het gaat om gegevens van ruim tienduizend bestellingen die via de website en via Bol.com zijn gedaan.

De data is afkomstig van Nederlandse en Belgische kopers, blijkt uit onderzoek van de Vlaamse VRT. Het is onbekend hoeveel klanten er precies gedupeerd zijn. Het zou gaan om tienduizend unieke bestellingen, dus vermoedelijk zijn daardoor duizenden klanten getroffen. De data is afkomstig van kopers in de webshop van Toppie Speelgoed, maar ook van kopers die via Bol.com iets bestelden. Toppie verkocht speelgoed via dat platform.

In de database is de bestelgeschiedenis van gebruikers te zien, inclusief namen, adressen en woonplaatsen. Bankrekeninggegevens zijn volgens de VRT niet bekend. Van bestellers bij de webshop van Toppie Speelgoed is ook het e-mailadres en telefoonnummer gelekt. Bij kopers via Bol.com is dat niet het geval, omdat Bol die informatie niet doorgeeft aan verkopende partijen. De verdeling tussen kopers van de webshop en Bol.com is niet bekend. De data zou gelekt zijn op het moment dat de webshop data van de ene naar de andere server verhuisde.

Toppie Speelgoed heeft inmiddels melding gemaakt van het datalek bij de Autoriteit Persoonsgegevens. Dat is verplicht onder de privacywetgeving. Ook gaat de webshop aangifte bij de politie doen. "Daarnaast vind ik dat er door de autoriteiten te weinig wordt gedaan om hackers op te sporen. De hacker is de crimineel in dit verhaal, niet ik", zegt een woordvoerder van de webshop tegen VRT.

Reacties (96)

kmsch 9 december 2019 11:44

Ik begrijp niet zo goed waarom Bol.com zo prominent naar voren komt in het artikel, alsof zij een fout hebben gemaakt. Volgens mij gaat dit artikel om Toppie Speelgoed. Als een webshop wordt gehackt die toevallig ook een aantal zaken via marktplaats verkoopt, is de titel dan ook "Klantgegevens van Marktplaats.nl-partner zijn na hack online te koop"?

Ik heb het gevoel dat Bol.com er in de titel bij wordt gehaald om het artikel meer nieuwswaarde te geven, volgens mij hoeft dat niet.

[Reactie gewijzigd door kmsch op 23 juli 2024 16:41]

rickiey @kmsch • 9 december 2019 11:58

Je vergeet even dat klanten de gegevens aan bol.com geven. Volgens de AVG ben je als bedrijf ook verantwoordelijk voor wat met die gegevens gebeurt waneer je deze aan derde verstrekt. Dus bol.com heeft hierin wel een aandeel. Het laat dus ook goed zien dat je gegevens (indirect) niet zo veilig hoeven te zijn bij bol.com.

jobvr @rickiey • 9 december 2019 12:09

Ja, maar uit het artikel blijkt ook dat Bol.com niet alle data geeft aan de verkopende partij. Ik krijg uit het artikel juist het idee dat bol.com alleen de nodige informatie geeft aan de verkopende partij. Hiermee houden zij zich goed aan de AVG om te voorkomen dat deze gegevens onnodig worden opgeslagen en daardoor op straat komen te liggen.
Uit het artikel blijkt juist dat Bol.com zijn zaken goed voor elkaar heeft, terwijl dit uit de titel niet blijkt. Taal technisch gezien klopt de tite, maar het/mijn brein maakt er iets anders van door aannames.

[Reactie gewijzigd door jobvr op 23 juli 2024 16:41]

Dan0sz @jobvr • 9 december 2019 12:24

Het zal hooguit gaan om NAW-gegevens en een e-mailadres, wat vaak ook nog geanonimiseerde e-mailadressen zijn. Ervan uit gaande dat de meeste mensen met iDeal betaald hebben, zijn deze gegevens ook niet opgeslagen bij bol.com of Toppie. Je kunt bij bol.com wel je creditcard opslaan, maar aangezien zo'n koppeling via de API vaak alleen maar de bestelgegevens en een status doorgeeft (bijv. Success of Cancelled) zal die dus ook niet bij Toppie bekend zijn.

Heb zelf meegewerkt aan het bouwen van koppelingen met bol.com, dus het zijn allemaal educated guesses/aannames. Maar de schade zal dus 'meevallen'. Afgezien van het feit dat er een individu mee geïdentificeerd kan worden, zal een script kiddy (mijn inziens) niet zoveel kunnen met je adres en een geanonimiseerd e-mailadres. Maar wellicht zie ik iets over het hoofd.

Wat ik wel graag zou willen weten: op welk platform draait Toppie?

[Reactie gewijzigd door Dan0sz op 23 juli 2024 16:41]

ajolla @Dan0sz • 9 december 2019 14:12

DJMaze in 'nieuws: Klantgegevens van Bol.com-partner Toppie Speelgoed zijn na...

rko4u @Dan0sz • 10 december 2019 09:09

En juist dat email-adres gaat klanten in gevaar brengen. De eindeloze spamgolven met geïnfecteerde email die naar deze geverifieerde email-adressen wordt verstuurd gaat weer een hoop klanten van Bol.Com op de proef stellen.

GewoonNiek @jobvr • 9 december 2019 13:30

Ik verkoop ook op bol.com
Wat je krijgt bij een bestelling zijn enkel de naam en het adres van een klant plus een emailadres.
Dat emailadres loopt via bol zelf (vergelijkbaar met marktplaats) dus is niet leesbaar (in de zin van hotmail.com, ziggo.nl, etc).
Via de API zal dat niet veel anders zijn vermoed ik al gebruik ik die zelf niet.

Frituurman @jobvr • 9 december 2019 12:34

Dat is nu eenmaal de naam die er bij staat. Stel dat Webwinkel X een groot deel van zijn backend bij Provider Y heeft staan. Bij Provider Y is een groot lek, waarbij gegevens van klanten van Webwinkel X op straat komen te liggen. Nu ligt de schuld duidelijk bij Provider Y (en de hacker, natuurlijk), maar omdat het vooral klanten van Webwinkel X treft, komt die prominent in beeld. Het is daarom van belang ook een strikte controle te hebben op leveranciers en of zij ook daadwerkelijk leveren wat zij beloven. Als zij in gebreke blijven, kom jij met je gezicht in het nieuws, want het zijn jouw klanten wiens gegevens op straat liggen. Jij bent de voorkant van de winkel.

Zelf heb ik dit meegemaakt bij een overheidsdienst én een zorgverzekeraar; het artikel verwijst dan naar 'Groot datalek bij *OVERHEIDSDIENST' of 'Gegevens klanten ZORGVERZEKERAAR liggen op straat'. En hoewel daar strikt gezien de schuld niet ligt, ze worden er wel op afgerekend. Hoe oneerlijk ook. Maar zo zitten de media en mensen in elkaar. Die gaan niet op zoek naar de nuance, maar willen scoren!

ElGrandoNeuso @rickiey • 9 december 2019 12:33

Heb even de (pricacy) voorwaarden van BOL.com zakelijk erbij gezocht. Toppie is slordig omgegaan met migratie naar een nieuwe server en heeft m.i. 10.3 overtreden. Volgens de AVG hoor je technische- en organisatorische maatregelen te treffen om persoonsgegevens te beschermen.

Artikel 10 - Privacy
1. Bol.com verstrekt aan de Zakelijke Verkoper enkel en alleen de persoonsgegevens van de Klanten (hierna: Klantgegevens") voor zover deze Klantgegevens noodzakelijk zijn voor de Zakelijke Verkoper om uitvoering te geven aan de Koopovereenkomst, waaronder begrepen de zgn. after sales-verplichtingen, of wanneer de Klant hiervoor zijn toestemming heeft gegeven. Het betreft in ieder geval naam, adres en woonplaats (hierna: "NAW gegevens") en het telefoonnummer indien er een bezorgafspraak gemaakt moet worden.
2. De Zakelijke Verkoper garandeert dat zij de Klanten enkel en alleen zal benaderen in verband met het uitvoeren van de Koopovereenkomst en de verplichtingen voortvloeiend uit de Koopovereenkomst en zij Klantgegevens nimmer commercieel zal exploiteren of gebruiken. De Zakelijke Verkoper zal de Klantgegevens enkel en alleen gebruiken en (laten) opnemen in een van haar gegevensbestanden ter uitvoering van haar verplichtingen als hiervoor genoemd en om te voldoen aan haar boekhoudverplichting. Ook na beëindiging van het Verkoopaccount is de Zakelijke Verkoper niet gerechtigd Klantgegevens commercieel te exploiteren of gebruiken. Bij overtreding van het bepaalde in dit artikel is de Zakelijke Verkoper aansprakelijk voor alle door bol.com geleden schade.
3. De Zakelijke Verkoper zal alle Klantgegevens behandelen in overeenstemming met alle toepasselijke wet- en regelgeving (waaronder maar niet beperkt tot de Algemene Verordening Gegevensbescherming).
4. Bol.com staat niet in voor de juistheid van de (door Klanten aangeleverde) (persoons)gegevens.

vrow @ElGrandoNeuso • 9 december 2019 13:27

Heb even de (pricacy) voorwaarden van BOL.com zakelijk erbij gezocht. Toppie is slordig omgegaan met migratie naar een nieuwe server en heeft m.i. 10.3 overtreden. Volgens de AVG hoor je technische- en organisatorische maatregelen te treffen om persoonsgegevens te beschermen.

Eerst even off-topic:
Toen ik dit las, dacht ik direct: "No shit, Sherlock".
Gevolgd door "Thank you, captain Obvious".

Wel grappig dat ze dus volgens jou de wet overtreden - dat staat in artikel 10.3 - maar dat je hen dus niet 'verantwoordelijk' houdt voor het (volgens jou) overtreden van de wet, maar het overtreden van een voorwaarde van bol.com waarin dus staat dat je je aan de wet moet houden :-)
Net alsof bol.com in de voorwaarden kan schrijven dat de wetten niet meer van toepassing zijn ofzo.

Maarre, weer even on-topic:
Werk jij toevallig bij Toppie dan, als jij weet dat zij geen organisatorische of technische maatregelen genomen hebben om dit lek te voorkomen?

ElGrandoNeuso @vrow • 9 december 2019 15:48

Ik werk niet bij Toppie, maar baseer mijn conclusie op het originele artikel. Oké, ik weet het. Aannames

Een hacker heeft misbruik gemaakt van een technisch proces dat we een tijdje geleden hebben uitgevoerd en waarbij klantengegevens van de ene server naar de andere zijn overgezet.

kodak

Datalek
Beveiliging en antivirus

@rickiey • 9 december 2019 12:31

Een aandeel hebben in een uitwisseling maakt nog niet dat de tussenpersoon dus ook (mede) verantwoordelijk is voor een probleem bij de verkoper. De vraag is waar die verantwoordelijkheid stopt. Het zou zo maar kunnen dat de tussenleverancier hier voor de particuliere klant wel degelijk verantwoordelijk is om te zorgen dat een leverancier de beveiliging van persoonsgegevens voldoende op orde heeft. Het lijkt me sterk dat bol.com alleen de lusten kan hebben maar slechts beperkte lasten.

Droepy @rickiey • 9 december 2019 12:41

Je geeft het inderdaad aan Bol, maar je besteld via een 3e partij en staat er duidelijk bij als je besteld. Is nogal lastig een bestellen versturen zonder naam en adresgegevens, dus lijkt me logisch dat die gegevens naar de 3e partij moeten.

CivLord

@kmsch • 9 december 2019 12:24

Het maakt wel de zwakte duidelijk van de marktplaats-functie van Bol.com.

De meeste bezoekers komen af op de naam en reputatie van Bol.com. Maar de Partner bij wie je uiteindelijk iets koopt kan de eerste de beste beunhaas zijn die zijn zaken niet op orde heeft.

vrow @CivLord • 9 december 2019 13:30

En daarom regelt bol.com dat juist heel goed!
Ze houden je e-mailadres privé, je betaalgegevens houden ze privé, zelfs je telefoonnummer krijgt de uiteindelijke leverancier niet.
Enkel de gegevens die hoognodig zijn, zoals naam, adres en hetgeen je besteld hebt.

Dus bol.com doet het juist prima!
Had je een profiel bij Toppie zelf gemaakt, dan hadden de hackers al je gegevens inclusief dus mailadressen, eventueel bankrekeningnummers of wat er allemaal niet meer in staat.

Tranzity @CivLord • 9 december 2019 13:31

Het is duidelijk te zien bij het product of het door bol.com zelf wordt verkocht of door een partner.
Ik zal zelf, na een slechte ervaring met een bol.com partner (geen origineel, c-kwaliteit uit het oosten), niet snel meer kiezen voor deze optie.

Aiii @kmsch • 9 december 2019 12:07

Omdat dit belangrijke informatie is voor getroffen gebruikers. Als ik nog nooit wat bij Toppie Speelgoed besteld heb, maar mij wel herinner een keer speelgoed gekocht te hebben bij Bol.com dat niet van bol zelf komt, dan was ik nu even in mijn mail gedoken om te zien of ik getroffen was, bijvoorbeeld.

Zenomyscus @kmsch • 9 december 2019 11:53

Ik ken het bedrijf niet, maar wellicht doen zij uitsluitend zaken via Bol.com en zijn de gegevens dus afkomstig van Bol.com gebruikers? Zo niet dan lijkt het mij het inderdaad onzin om Bol.com hier bij te betrekken.
Edit: ik had het artikel beter moeten lezen. Er zijn naast andere gegevens ook gegevens afkomstig van Bol.com uitgelekt. Zelf hebben ze er weinig mee te maken.

[Reactie gewijzigd door Zenomyscus op 23 juli 2024 16:41]

Nas T @kmsch • 9 december 2019 12:02

Ik vind het wel duidelijk welke rol Bol.com heeft:

De data is afkomstig van kopers in de webshop van Toppie Speelgoed, maar ook van kopers die via Bol.com iets bestelden.

Bol.com is dus niet (per se) "schuldig", maar voor de volledigheid vind ik de informatie wel van toegevoegde waarde. Op zich kan je je afvragen of bol.com in de titel vermeld moet worden, wat mij betreft ben ik daar neutraal in: er valt iets voor te zeggen, er valt iets tegen te zeggen.

MarcelGo @kmsch • 9 december 2019 12:09

Als ik iets bij Bol koop met mijn Bol.com account en de gegevens komen via iemand anders naar buiten vind ik dat wel degelijk een verantwoordelijkheid van Bol. Dat e.e.a. via een partner gaat maakt hierin niet uit.

ouweklimgeit @MarcelGo • 9 december 2019 13:15

Dat is niet het geval als je 'bij Bol' koopt. Via Bol is wat anders, ze hebben tienduizenden externe verkopers dus wanneer je een artikel via Bol koopt 'bij een partner', dan zal deze partner toch echt jouw gegevens nodig hebben om de bestelling te kunnen versturen.

Christoxz @kmsch • 9 december 2019 12:18

Ik heb het gevoel dat Bol.com er in de titel bij wordt gehaald om het artikel meer nieuwswaarde te geven, volgens mij hoeft dat niet.

Als er alleen 'Toppie Speelgoed' had gestaan hadden een hoop mensen gedacht er is niks aan de hand wat ik heb het via Bol.com.

Veel mensen weten niet hoe de Plaza werkt. Sommige kunnen bijvoorbeeld denken dat hun data bij Bol blijft, terwijl dat helemaal niet zo is.
Titel geeft aan dat het een partner was, dat dus ook 'Bol klanten' getroffen zijn, in het artikel word het verder uitgelegd hoe dat werkt.

i-chat @kmsch • 9 december 2019 13:24

Ik begrijp niet zo goed waarom Bol.com zo prominent naar voren komt in het artikel, alsof zij een fout hebben gemaakt. Volgens mij gaat dit artikel om Toppie Speelgoed. Als een webshop wordt gehackt die toevallig ook een aantal zaken via marktplaats verkoopt, is de titel dan ook "Klantgegevens van Marktplaats.com-partner zijn na hack online te koop"?

Ik heb het gevoel dat Bol.com er in de titel bij wordt gehaald om het artikel meer nieuwswaarde te geven, volgens mij hoeft dat niet.

ik snap die slag wel,

het is namelijk een bol.com-partner dat wil een aantal dingen zeggen;
1: de artikelen zijn via bol.com gekocht, veel mensen merken niet (of nauwelijks) dat ze geen zaken doen met bol maar met een 3e partij
2: de hele verzend- aankoop- en support procedure loopt veelal via bol.com en zijn medewerkers.

dat maakt dat het handelen van bol.com zo integraal is dat iedereen die recent speelgoed via bol heeft gekocht, even moet kijken of de werkelijke verkoper toevallig toppie-speelgoed is want dán is hun data mogelijk in gevaar.

SCS2 9 december 2019 17:43

Ik ben het wel met hem eens. Iedereen maakt fouten.
Natuurlijk is het makkelijke de ondernemer te straffen dan de echte criminelen aan te pakken.
En het zal positief werken, omdat er hopelijk zorgvuldiger gewerkt wordt.

Maar je hoort veel te weinig dat er Internet criminelen gepakt worden.
Heel soms als het om een zeer grote zaak gaat, maar voor de rest nooit iets.

Ja, het zal lastig en duur zijn, maar die rotzakken komen er nu eigenlijk altijd mee weg!
Dat zuigt vele nieuwe dieven aan, die groeien op met de gedachte dat alles kan.

Als de politie steekproefsgewijs ieder jaar op z'n minst een paar zaken zou oplossen, met zeer zware straffen en een hoop aandacht daarvoor, dan is dat al genoeg om een ander beeld te scheppen.

[Reactie gewijzigd door SCS2 op 23 juli 2024 16:41]

kodak

Datalek
Beveiliging en antivirus

@SCS2 • 9 december 2019 18:34

Het punt in dit geval is echter dat de ondernemer de fout wettelijk waarschijnlijk niet had mogen maken en dus zelf ook mogelijk crimineel/strafbaar bezig is geweest. Ik vind het zeer begrijpelijk dat de crimineel die de gegevens weg nam betraft dient te worden, maar dat onslaat de ondernemer nog niet van de eigen mogelijk strafbare feiten. Als je als ondernemer persoonsgegevens wil verwerken dan dient dat aan bepaalde wettelijke eisen te voldoen. Gezien er hier persoonsgegevens toch weg genomen leken te kunnen worden is het dus maar de vraag of de ondernemer hier zelf niet mede crimineel bezig is geweest. Het lijkt me geen sterk punt om de het ene strafbare feit maar te bekijken of men er weinig aan doet en dan het andere mogelijke strafbare feit maar te negeren.

[Reactie gewijzigd door kodak op 23 juli 2024 16:41]

HollowGamer 9 december 2019 11:41

Daarnaast vind ik dat er door de autoriteiten te weinig wordt gedaan om hackers op te sporen. De hacker is de crimineel in dit verhaal, niet ik", zegt een woordvoerder van de webshop tegen VRT.

Hoewel ik het eens ben zijn reactie, ligt ook steeds vaker de schuld bij de beheerders van een webshop of website.

Genoeg sites (zelfs grote namen als FB) die een database publiekelijk opslaan of hun systemen niet up-to-date houden. Als ik deze zin erbij neem: "De data zou gelekt zijn op het moment dat de webshop data van de ene naar de andere server verhuisde.", kan ik mij goed voorstellen dat hierin dus iets in is misgegaan en je mogelijk kan spreken van een menselijke fout. Je kan dan wel spreken van hackers, maar als ik tijdens die verhuizing het domein bezoek en de 'root' staat open met de database dump, tja..

Ik spreek het totaal niet goed, het te koop aanbieden van deze gegevens slaat helemaal nergens op - maar ik heb ook genoeg verhalen gehoord over het melden van lekken waar niks mee werd gegaan, je als melder aan de schandpaal wordt genageld of een 'bedankje' krijgt. Het aanbieden van deze gegevens levert schijnbaar velen malen meer op en het pak risico is dus vrij klein.

Hackers worden ook vaak onterecht genoemd, terwijl in dit verhaal dit mogelijk dus niet klopt en gewoon iemand een dump heeft gedownload en aanbiedt op de zwarte markt. Dat is niet bewust inbreken, dat is meer stelen/diefstal - ook strafbaar - maar dat heeft niks met hacken te maken. Het komt bij mij over dat je nu een groep kan aanwijzen en makkelijker in de slachttoffer rol kan zitten, zonder ook maar de schuld bij jezelf te leggen. Een server hoort bijvoorbeeld niet zomaar open te staan.

[Reactie gewijzigd door HollowGamer op 23 juli 2024 16:41]

DJMaze @HollowGamer • 9 december 2019 13:17

De verhuizing had ook kunnen plaatsvinden d.m.v. een encrypted tar.gz bestand.
tar -czf - * | openssl enc -e -aes256 -out secured.tar.gz
En dan via SSH overpompen.

Maar nee, we doen gewoon alles in een zip via onze yourhosting.nl panel op PHP/5.5.9-1ubuntu4.29 en plempen dat in de public_html.
Nou dan ben je als webshop eigenaar gewoon crimineel, als je daar nog op draait/host.
(Ja ik heb de website net even bekeken)

[Reactie gewijzigd door DJMaze op 23 juli 2024 16:41]

HollowGamer @DJMaze • 9 december 2019 14:35

Een .htaccess in de root met tijdelijke IP-whitelists was ook al voldoende geweest.

Maar er zijn nog zoveel (betere) manieren om het veiliger te doen.

Het probleem ligt hierbij niet altijd aan de webdeveloper, er zijn ook genoeg die verwachten dat een webshop wel 5 jaar blijft draaien zonder onderhoud/upgrades (dan blijf je inderdaad steken op PHP 5.5). Of het overlaten aan hun neefje/goedkope(re) kennis die het wel even verhuist. Ik denk dat je schrikt hoeveel websites draaien op oudere PHP-versies, zeker als je ziet hoe snel tegenwoordig gaat.

Misschien is het een stap te ver, maar wellicht zou je webshophouders moeten verplichten dat ze moeten aantonen dat er onderhoud wordt gepleegd en goed wordt omgegaan met klantgegevens. Als ik mijn auto niet onderhoud, mag ik immers ook niet de weg op.

_Eend_ @HollowGamer • 9 december 2019 20:23

Eigenaars van fysieke winkels moeten er ook voor zorgen dat hun winkel aan bepaalde eisen voldoet, dus ik zie niet in waarom het een stap te ver zou zijn om zoiets ook van webshop eigenaars te eisen. Dit is de digitale variant van je gehele klantenadministratie "even" in de achtertuin stallen omdat het in de weg staat tijdens je verhuizing.

rkeet @ajolla • 11 december 2019 09:36

Ze hadden ook zelf een simpele google search kunnen doen voordat ze 't op een onveilige manier deden.

Bijvoorbeelld "linux how to download files encrypted" -> https://www.google.com/se...&sourceid=chrome&ie=UTF-8

Eerste hit: https://www.tecmint.com/l...ct-files-with-encryption/

De methode van DJMaze hierboven is optie #5 in dat lijstje.

That didn't even take 30 seconds...

rko4u @HollowGamer • 10 december 2019 09:15

De opmerking is een verontwaardiging van een onderneming die een virtuele deur open laat staan en dan de politie beticht dat ze beter moeten opletten voor insluipers. Als de politie de boel heeft gehacked voordat de hackers het doen, zou het wel heel vreemd zijn. Lijsten met data moet je nooit extern neerzetten op ftp sites of email o.i.d. en als je dat al doet, gebruik dan een sftp verbinding.

Luchtbakker 9 december 2019 11:42

Een mailbox dat dus gelekt is.

Ik ben verkooppartner geweest van Bol.com, en je krijgt enkel via de portal van Bol.com en per e-mail de gegevens van de bestelling doorgestuurd. Bol heeft geen koppeling met je webshop CMS, dus daar kan het lek niet gezeten hebben. Ik weet niet of er een API is waarmee de shop een koppeling had? Maar in de portal kan ik dat zo niet terug vinden dat die bestaan.

[Reactie gewijzigd door Luchtbakker op 23 juli 2024 16:41]

Capital_G @Luchtbakker • 9 december 2019 12:12

Deze?

Verwijderd @Luchtbakker • 9 december 2019 12:07

Ik ben verkooppartner geweest van Bol.com, en je krijgt enkel via de portal van Bol.com en per e-mail de gegevens van de bestelling doorgestuurd. Bol heeft geen koppeling met je webshop CMS, dus daar kan het lek niet gezeten hebben. Ik weet niet of er een API is waarmee de shop een koppeling had? Maar in de portal kan ik dat zo niet terug vinden dat die bestaan.

Het heeft niets met Bol.com te maken;
Het gaat om gegevens van ruim tienduizend bestellingen die via de website en via Bol.com zijn gedaan.

Mogelijk voerden ze de bestellingen die ze via Bol.com binnenkregen, in op hun website om op die wijze de facturatie, administratie (stock) etc. op orde te hebben.

Zer0 @Luchtbakker • 9 december 2019 12:13

Bol heeft geen koppeling met je webshop CMS, dus daar kan het lek niet gezeten hebben.

Ze kunnen natuurlijk ook gewoon handmatig in het eigen CMS gezet zijn met de gegevens uit de email...
Een API is niet altijd nodig, mensen kunnen zelf ook nog een en ander.

mkleinman

9 december 2019 11:41

"Daarnaast vind ik dat er door de autoriteiten te weinig wordt gedaan om hackers op te sporen. De hacker is de crimineel in dit verhaal, niet ik", zegt een woordvoerder van de webshop tegen VRT.

Volgens mij is dit grotendeels afhankelijk van hoe de hackers binnen zijn gekomen. Als ze binnen zijn gekomen via SQL injectie of zwakke wachtwoorden dan vind ik de webshop wel degelijk ook crimineel.

Afwachten of er meer informatie over de hack zelf boven water gaat komen.

B-lex @mkleinman • 9 december 2019 11:47

Dus als ik een slecht slot op m'n huis heb, maar wel een slot, en inbrekers breken in, dan ben ik de boef? Puntje bij paaltje hoor je, ook bij data, gewoon van andermans spullen af te blijven.

Ethisch Hacken daargelaten, met het doel niemand te schaden en processen te verbeteren.
Dat zie ik als een actie waarbij politie bewoners erop wijst dat hun sloten beter kunnen.

kodak

Datalek
Beveiliging en antivirus

@B-lex • 9 december 2019 13:03

Dat ligt bij persoonsgegevens net iets anders. Wettelijk is het bedrijf dat persoonsgegevens verwerkt ook pichtig daar afdoende bescherming bij te hanteren, anders kan er inderdaad strafbaar gedrag zijn. Zelfs als de data niet is weggenomen. Dat anderen verantwoordelijk zijn voor het wegnemen doet daarmee niets af aan een mogelijk strafbaar zijn als bedrijf dat de toegang kennelijk mogelijk maakte.

juggle @B-lex • 9 december 2019 12:17

Ik was van plan om dezelfde reactie als jij te plaatsen. Bedrijven moeten beveiliging serieus nemen dat is absoluut waar, als zij over klantggegevens beschikken mag je dan ook verwachten dat ze daar zorgvuldig mee omgaan. Maar als je de deuren hebt dichtzitten en er breekt iemand het slot open dan word je hier op Tweakers gelijk aan de schandpaal genageld.

svenslootweg @juggle • 9 december 2019 13:00

Deze vergelijking met fysieke sloten komt iedere keer weer terug bij dit soort draadjes. Het is echter totaal niet vergelijkbaar; waar het bij fysieke sloten oprecht heel moeilijk is om ze 'praktisch onkraakbaar' (oftewel: niet de moeite waard) te maken, is dat bij digitale beveiliging niet het geval.

In de praktijk is er bij het gros van de hacks sprake van nalatigheid aan de kant van de ontwikkelaar en/of opdrachtgever, en gaat het om hele domme fouten die 100% te voorkomen waren geweest; er is echter totaal geen prioriteit gegeven aan beveiliging, en daarom gaat het alsnog fout. Vervolgens komt de uitbater dan met een of ander verhaal over een "sophisticated attacker" en "criminal".

Dit komt zoveel voor dat het inmiddels alleszins redelijk is om aan te nemen dat daar hier ook sprake van is, tenzij de uitbater uit kan leggen wat er nu precies fout is gegaan en hoe dat heeft kunnen gebeuren ondanks hun inspanningen.

Dat is niet gebeurd, en logischerwijs nemen mensen dus aan dat er - zoals gebruikelijk - sprake is van nalatigheid.

CivLord

@B-lex • 9 december 2019 12:15

Tuurlijk. Daar begint het bij. Je hoort met je vingers van andermans spullen af te blijven.
Maar het is algemeen bekend dat sommigen dat toch niet kunnen laten en dat je maatregelen moet nemen om die criminelen buiten de deur te houden. De mate van de genomen maatregelen bepalen hoe verantwoordelijk jij bent wanneer iemand toch jouw deur weet te openen.
Een simpel keukendeurslot (zo'n slot waarvan je de sleutels op nummer bij elke ijzerhandel kunt kopen) zal in veel gevallen afdoende zijn om je eigen spullen veilig te houden. Maar wanneer je waardevolle spullen van een ander bewaart, zal je toch een beter slot aan moeten schaffen, anders kan die ander jou verantwoordelijk stellen voor eventueel diefstal na een inbraak.

Goof2000 @B-lex • 9 december 2019 12:16

Als iemand een ander zijn portemonnee (/data) op straat gooit (evt met de geld flappen eruit bungelend) en iemand neemt de portemonnee mee zijn ze beide fout bezig, in mijn optiek zijn ze beide crimineel. (misdadig=strafbaar feit)

Op dit moment is het niet verstandig om een datalek wat je tegenkomt te melden bij een bedrijf, je hebt de kans dat je zelf wordt aangeklaagd.

ajolla @B-lex • 9 december 2019 14:07

Als jij bij de Gamma het allergoedkoopste slot hebt gekocht waarvan iedereen weet dat het ook met een schroevendraaier is te openen, dan ja.

Anders @B-lex • 9 december 2019 17:02

Onnozele vergelijking. In jouw huis staan jouw spullen. Als jij die slecht wil beveiligen moet je dat helemaal lekker zelf weten. Puntje bij paaltje: bij persoonsgegevens gaat het om gegevens van anderen. Die dien je daarom afdoende te beschermen. Een slecht slot is niet afdoende en je bent dus laakbaar als je het niet beter beveiligt.

Olifant1990 @mkleinman • 9 december 2019 11:43

Nouja, bugs zijn overal, vind het niet per se direct "crimineel" waardig. Wel bij ontdekking direct oplossen en eventueel dus melden dat dit er in zat.

Edit: Zwakke wachtwoorden, sja, misschien. Hangt dus ook af van de verdere beveiligingen

[Reactie gewijzigd door Olifant1990 op 23 juli 2024 16:41]

svenslootweg @Olifant1990 • 9 december 2019 12:55

Als je in 2019 nog door een SQLi gehackt wordt, dan ben je toch echt nalatig geweest. Er is inmiddels al zo'n twee decennia een betrouwbare manier om dit volledig te voorkomen, namelijk parameterized queries; en dat behoor je als ontwikkelaar te weten.

Sowieso, dat hele "overal zitten bugs in"-verhaal. Ik hoor het heel erg vaak als een excuus als er weer wat stukgaat of gehackt wordt. Technisch gezien klopt het dat er altijd wat mis kan gaan, maar waar hier aan voorbij gegaan wordt, is dat het overgrote deel van de bugs in de praktijk gewoon te voorkomen was geweest, en daar de verantwoordelijkheid alsnog bij de ontwikkelaar en/of opdrachtgever ligt.

TepelStreeltje @mkleinman • 9 december 2019 11:45

Vind het eigenlijk een compleet irrelevante opmerking. Niemand die hem een crimineel noemt.
Dat het misschien een slechte systeembeheerder is of website beheerder is een ander verhaal, maar goed.

Exorcist @mkleinman • 9 december 2019 11:47

Dat maakt je niet en nooit crimineel. Hooguit nalatig of (deels) aansprakelijk. Iemand crimineel noemen is nogal wat.

Cergorach

Beveiliging en antivirus

@Exorcist • 9 december 2019 12:10

Criminele nalatigheid?

ajolla @Cergorach • 9 december 2019 14:06

Er zijn geen doden gevallen hoor.

Verwijderd @mkleinman • 9 december 2019 11:55

Ik vind het nogal een raar verhaal, er wordt gesproken over een hack maar vervolgens wordt er verderop in het artikel over De data zou gelekt zijn op het moment dat de webshop data van de ene naar de andere server verhuisde..

Naar mijn weten zit er tussen een hack en een lek een wezenlijk verschil.

iAR @mkleinman • 9 december 2019 12:08

Ergens is dat ook zo maar je kunt natuurlijk je voordeur open laten staan, hem met een goedkoop slot of een duur slot sluiten. Ik kan me voorstellen dat je met de 1e twee wel (enigszins) verwijtbaar bent.

JAVE @mkleinman • 9 december 2019 13:21

Crimineel wil ik niet zeggen. Op z'n slechts nalatig.

Jouw opmerking is hetzelfde als "Had je er maar niet zo bij moeten lopen, dan was het ook niet gebeurd"

mkleinman

@JAVE • 9 december 2019 14:18

Volgens mij een kromme vergelijking. "De hacker is de crimineel in dit verhaal,", door dit te zeggen wil de webshop, schijnbaar, de verantwoordelijkheid ontlopen en/of volledig afschuiven op de hacker. En dat is waar ik over struikel.

Canon_nl3 @mkleinman • 9 december 2019 14:16

Als je sleutel weet te vinden van iemand zijn huis doordat hij op een heel makkelijk plekje ligt, geeft dat niet het recht om zijn TV te jatten en op marktplaats te zetten.

Het is niet crimineel om je sleutel op een makkelijk plekje neer te leggen. Handig is het niet, omdat er nu eenmaal criminelen zijn.

Olifant1990 9 december 2019 11:40

De hacker is de crimineel in dit verhaal, niet ik.

Sja... Maar als je zelf zo onhandig bent om bijvoorbeeld tijdens een verhuizing een export.sql bestand neer te zetten waar iedereen bij kan (nogmaals: is een voorbeeld, weet niet hoe het is gegaan) is dat ronduit eigen schuld...

blinchik @Olifant1990 • 9 december 2019 11:47

Eigen schuld, of de schuld van een onderaannemer.

Wij maken onze eigen website niet, en daar vond ik onlangs ook een export op die er niet thuis hoorde. Niet alles heb je in eigen hand en je hebt daarom ook geen tijd om alles zelf te doen.

jesse! @blinchik • 9 december 2019 11:55

Dan nog blijf jij eind verantwoordelijke volgens mij.
Je kan namelijk altijd nog zelf controleren, of daar iemand voor aanstellen / inhuren.

mvds @jesse! • 9 december 2019 12:00

In vrijwel alle ontwikkeltrajecten hoort dat gewoon bij de scope van het project. Zou niet best zijn als je iemand moet inhuren voor het bouwen van de website en dan ook nog eens iemand voor de controle of alles wel goed gedaan is. Moet je dan nog iemand inhuren om te controleren of alles wel goed gecontroleerd is?

ajolla @mvds • 9 december 2019 14:01

Ja. Controle door een onafhankelijke partij is altijd nodig als je de beschikking over de gegevens van duizenden klanten uit handen geeft. Ook als je de zaak niet uit handen geeft moet je iemand inhuren om je eigen werk te controleren. Het maakt dus geen verschil of je de website zelf aanmaakt/beheert. Controle moet er altijd plaatsvinden.
Controle van de controleur zou wel handig zijn, is echter niet 'overdreven', maar kan meestal wel achterwege blijven, tenzij 't om miljoenen en gevoelige gegevens gaat.
Je moet er eigenlijk een probabilistische risicoanalyse op loslaten en dan beslissen wat te doen.

[Reactie gewijzigd door ajolla op 23 juli 2024 16:41]

jesse! @mvds • 9 december 2019 16:33

Jij vertrouwt iemand gewoon op zijn lieve ogen als hij zegt dat er geen security issues in je nieuwe systeem zitten?
Vooral als je met zoveel klantdata te maken hebt, en ook gevoelige NAW gegevens. Dan zou ik dat wel even extra laten controleren door een derde partij ja.

Sleurhutje @jesse! • 9 december 2019 12:02

Dus iemand huren om controle uit te voeren op iemand die ingehuurd is. En dat zo vaak doen dat iedereen wel ergens de schuld kan afschuiven en/of geen verantwoordelijkheid meer neemt want er is toch controle die verantwoordelijk(er) is. Lijkt de overheid wel.

Cergorach

Beveiliging en antivirus

@blinchik • 9 december 2019 12:06

Als bedrijf/ondernemer kan je natuurlijk niet de schuld afschuiven op iemand die je zelf heb ingehuurd. Fouten worden altijd gemaakt, maar als alles zo 'scherp' (aka. goedkoop) mogelijk moet gebeuren, dan is de kans op fouten alleen maar groter omdat je minder tijd heb om project X netjes op te leveren. Een puinhoop na een migratie, verhuizing of grote aanpassing is uniek aan webservers en soms blijft die bende nog jaren liggen...

Stoelpoot @blinchik • 9 december 2019 12:12

Dan ben je alsnog zelf verantwoordelijk, en zou je kunnen proberen om eventuele schade bij de onderaannemer te verhalen.

overkill001 @blinchik • 9 december 2019 11:59

Misschien niet eigen schuld, maar wel verantwoordelijk helaas.

kodak

Datalek
Beveiliging en antivirus

@blinchik • 9 december 2019 18:28

Het is eerder eigenschuld EN van de onderaannemer.

Als je als bedrijf een ander inhuurt om vuil werk voor je op te knappen koop je daarmee nog niet de verantwoordelijkheid af dat je zorgvuldig met andermans persoonsgegevens namens je bedrijf dient te (laten) omgaan. Argumenten als je hebt niet alles zelf in de hand of geen tijd zijn verwerpelijk gezien je dan als ondernemer zelf niet de nodige verantwoordelijheid neemt. Het is geen kwestie van ik huur wel even een mannetje in die er wel verstand van zou moeten hebben en dan is het het probleem van die onderaannemer.

rickboy333 9 december 2019 11:43

Zo zie je maar, geef zo min mogelijk informatie prijs. Gebruik een 2e Email adres voor webshops als bliksemafleider en het nummer van zo'n gratis simkaart die je bij elke kababtent kan pakken (en stop die in een oude nokia ofzo). Hoe meer webshops je bezoekt hoe groter de kans dat je gegevens gepowned worden. Vul verder ook nooit je volledige naam in en alleen je eerste voorletter bv, Lieg over je geboortedatum en alle andere gegevens die een webshop niet nodog heeft. En als laatste gebruik een VPN om je IP te beschermen. Je NAW gegevens vrijgeven ontkom je helaas niet aan. Je oma gebruiken als katvanger is dan ook weer zo zielig

Hiermee voorkom je dat je persoonlijk lastiggevallen word met eventuele gelekte gegevens. Die spam van mijn webshopmail ligt ondertussen al rond de duizend mails in 4 jaar tijd. Gaat goed

[Reactie gewijzigd door rickboy333 op 23 juli 2024 16:41]

Verwijderd @rickboy333 • 9 december 2019 12:12

Ik gebruik een subdomein (op mijn eigen domein), het geen voor @subdomein.domein.ext is willekeurig en behoort alleen toe tot één specifieke webwinkel. Mocht er plots spam of andere troep binnen komen kun je er donder op tegen zeggen dat het maar om één simpele reden is.

Enige wat als legale alternatief kan worden gebruikt voor het ontvangen van pakketten is een postbus, maar dat is dan plots ook weer erg kostbaar.

ajolla @Verwijderd • 9 december 2019 14:10

Ja, voor bol.com zou ik henk_bol.com@mijndomein gebruikt hebben.

AP3X @rickboy333 • 9 december 2019 12:57

Mjah, vroeger (nog niet eens zo heel lang geleden) duwden we iedereen ongevraagd een telefoonboek in hun strot waarin je zowat van iedereen naam, adres en telefoonnummer kon opzoeken. Als er nu een lijst van namen met adressen lekt staat iedereen op z'n achterpoten. Misschien maar weer het telefoonboek terughalen, dan hoeft er ook niets meer te lekken

GLaDTheresCake 9 december 2019 11:43

De hacker is de crimineel in dit verhaal, niet ik", zegt een woordvoerder van de webshop tegen VRT.

Dit is wel een erg groot zwaktebod, je bent gewoon volgens de AVG verplicht om deze data goed te beschermen. En hoewel ik natuurlijk niet 100% zeker weer of er security policy fouten zijn gemaakt, ruikt het verhaal naar slechte beveiliging bij de gegevensoverdracht.

Verwijderd @GLaDTheresCake • 9 december 2019 14:45

Slechte beveiliging of gewoonweg totaal geen beveiliging.
Er zijn zat noobs die even met "tar -czf backup.tgz ." een back-up maken in de public_html/www/wwwdocs directory.

In het artikel staat

De impact voor onze klanten is beperkt omdat er geen paswoorden of accounts zijn gelekt

Daar ben ik het niet mee eens. Met de precieze bestelling, gebruikersnaam, email etc. Kun je een erg sterke phishing mail maken. Persoonlijk vind ik het een onwaardige reactie van Bol die geen eerbied doet aan de ernst. Als bij een security breach je eerste reactie is on de bagitaliseren, dan gaan bij mij de alarmbellen rinkelen.

Edit: Klopt, van Bol.com klanten zijn geen e-mailadressen buit gemaakt. Wel apart dat je je zo uitlaat over je officiële partner. 'Onze klanten zijn safe, maar de klanten van onze partner zijn de zak'.

rickiey 9 december 2019 11:52

Ik heb in andere artikelen gelezen dat bol.com alle schuld naar Toppie schuift. Ik vind dat ze daar ongelijk in hebben, ze zijn mede verantwoordelijk voor welke partijen ze in zee gaan en hoe ze klantdata aanleveren en hoeveel klantdata ze aanleveren. Mensen weten niet beter over het algemeen dan dat ze hun data aan bol.com geven en zij het voor hen beveiligen.

Ralph58 @rickiey • 9 december 2019 12:25

Nee.

kodak

Datalek
Beveiliging en antivirus

@Ralph58 • 9 december 2019 13:28

Hoezo zo stellig nee? Het is niet alsof een consument rechtstreekt bij de leverancier een aankoop doet, men doet dat bij bol.com als die de tussenhandel is voor toppie speelgoed. In dat geval heeft de consument dus een overeenkomst met bol.com en niet bij toppie. Bol.com is dan ook verantwoordelijk voor het juist verwerken en beschermen van de persoonsgegevens. Dat bol.com de gegevens verder laat verwerken door toppie speelgoed ontslaat bol.com waarschijnlijk niet van enige verantwoordelijkheid dat de gegevens bij hun verwerker niet op orde waren.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (96)

Sorteer op:

Weergave: