Framework-reparatiepartner lekte 'mogelijk' klantgegevens uit

Laptopfabrikant Framework heeft zijn klanten gewaarschuwd voor een mogelijk datalek. Dit vond plaats bij LetMeRepair DE, de partner voor reparaties en retourneringen binnen de EU. Er zijn 'mogelijk' klantgegevens uitgelekt door een kwetsbaarheid in de website van LetMeRepair.

E-mail Framework-datalek juni 2025
Het bericht dat Framework naar klanten stuurde.
Klik voor de volledige e-mail.

Framework laat in een e-mail aan klanten weten dat 'sommige persoonlijk identificeerbare informatie' mogelijk tijdelijk zichtbaar was voor onbevoegden. Het gaat daarbij specifiek om de gegevens van klanten die een retourzending of reparatie hebben aangevraagd bij Framework.

Het bedrijf benadrukt dat er geen betaalgegevens, wachtwoorden of andere gevoelige informatie zijn uitgelekt. Andere persoonsgegevens, zoals namen, e-mailadressen, fysieke thuisadressen en telefoonnummers, waren 'mogelijk' wel in te zien door onbevoegden.

Het mogelijke datalek vond plaats bij LetMeRepair DE, dat binnen de EU reparaties en retourzendingen afhandelt voor Framework. LetMeRepair zegt op 11 juni een 'mogelijke kwetsbaarheid in sommige webpagina's' te hebben gevonden. Na onderzoek concludeerde het bedrijf dat zijn webshop 'mogelijk is blootgesteld aan onbevoegde toegang', waaronder de FTP-folder die werd gebruikt voor dataoverdrachten naar Framework.

De kwetsbaarheid is inmiddels verholpen. Het bedrijf heeft Framework op 16 juni op de hoogte gesteld van het incident. Het kon niet definitief bevestigen of onbevoegden de gegevens van Framework-klanten hebben bekeken.

Door Daan van Monsjou

Nieuwsredacteur

19-06-2025 • 15:23

13

Reacties (13)

13
13
7
1
0
5
Wijzig sortering
Was niet de eerste keer voor dit reparatie bedrijf: Samsung informeert klanten over datalek bij reparateur
Dat ging om een gerichte ransomwareaanval op het bedrijfsdeel Servilux, waarbij daadwerkelijk gegevens buitgemaakt zijn. In dit geval gaat het om een mogelijke kwetsbaarheid in de klantenwebsite van LetMeRepair DE, waarbij er geen aanwijzingen zijn dat er gegevens ingezien zijn.

Met jou reactie wek je de indruk dat datalekken schering en inslag zijn bij LetMeRepair, maar dat valt wel mee.
Meerdere keren de rechten van je klanten niet kunnen waarborgen is hoe dan ook geen redelijke situatie. Omdat het hoe dan ook niet hoort te gebeuren en dus zeker ook niet 1x of zelfs 2x.
Dat het andere omstandigheden zijn maakt voor het recht van de klanten niet uit. Die zijn hier meerdere keren geschonden.
Opmerken dat het al eerder bij het bedrijf gebeurde is daarbij niet 'schering en inslag'. Het is wat is opgemerkt: helaas niet de eerste keer, mer verwijzing naar de eerdere keer
'Het is niet de eerste keer dat...' wordt vaak gebruikt om dingen te impliceren. Daar doet een bronvermelding (die ook nog eens verwijst naar een ander, separaat bedrijfsonderdeel) niets aan af.

Daarbij zijn de rechten van klanten niet "meerdere keren" geschonden: dat is slechts éénmaal daadwerkelijk gebeurd. In het meest recente geval zijn er geen aanwijzingen voor, los van het feit dat door de kwetsbaarheid mogelijk klantgegevens zichtbaar waren voor derden. Dat is dus niet eens zeker.
Maar dit bedrijf voert reparaties uit voor veel meer bedrijven, ik neem aan dat er dan niet alleen info van framework klanten is gelekt?
Daar kan Framework dan weer geen uitspraken over doen. Zij zijn enkel verantwoordelijk voor de data van hun klanten. Die andere fabrikanten moeten, indien ze ook getroffen zijn door dit lek, hun eigen klanten inlichten.
Zie hier waarom je je device leeg terugkrijgt na reparatie; steeds meer reparatiebedrijven willen hun vingers er niet meer aan branden en beginnen met als eerste een clean install. Zowel met laptops als met mobiel of tablet.
ik zie niet zo goed hoe een schone installatie samenhangt met een lek in een website/-shop?
Nou, nee.

De reden dat een clean install de eerste stap is is om uit te sluiten dat het defect gevolg is van een software fout.

Bij de wat grotere reparatieclubs is er namelijk geen tijd om na te gaan of dit waarschijnlijk is of niet, alles wipen en met een clean install beginnen is in dit geval efficienter. Bij een kleinere club (denk lokale reparatieboer/pc boer) kan dit nog wel.

Dat het privacytechnisch een risico is klopt vast, maar met een uninstall los je dat in principe niet eens op (disk keertje clonen vtv en poof datalek), tenzij je FDE gebruikt, maar dan doen ze juist wat je wil.

Ik weet dit nog van mijn tijd bij de klantenservice van een webshop toen alle winkels gesloten waren ivm covid.
Nou dat zou wat zijn voor simpele hardware reparatie. Een clean install voegt significant meer tijd toe aan een reparatie plus veel gedoe extra om het weer werkend te krijgen. Zeker met devices die mogelijk zijn enrolled in MDM.
die clean install heeft alles te maken met de procedure om zo'n apparaat te testen

en stel dat bijv. de harddisk kapot is, dan wordt die vervangen, het is aan het ICT bedrijf waar je dat ding gekocht hebt om te zorgen dat je data/installatie evt. weer terugkomt

wij halen in het geval van bijv. Asus altijd de harddisk eruit (in de 1x per 3 jaar ofzo dat het voorkomt)
Euh nee, het is aan jou om backups te hebben. De it partij kan een backup service bieden welke de data veiligstelt maar dat hoeft niet gratis
Dat is dan het tegenovergesteld van service verlenen. Iemands informatie op een device vernietigen. Dan ook nog zonder dit van tevoren te vermelden vermoed ik?

Er zijn twee opties:
1) het verplicht stellen dat je heel simpel je opslag uit ieder device kunt verwijderen
2) het gebruiken van een leeg opslagsysteem tijdens reparatie

Op dit item kan niet meer gereageerd worden.