Huawei zet privégegevens klanten cashback-actie onbeschermd online

Huawei Nederland heeft gegevens van klanten, waaronder namen, adressen, rekeningnummers en imei-nummers, onbeschermd online gezet in een open dir. De fabrikant heeft de site na een tip van Tweakers dichtgezet.

De site van de cashback-actie is niet alleen opengelaten, maar de facturen van klanten werden ook geïndexeerd via Google, waardoor ze voor iedereen vindbaar waren. Daaronder waren veel klanten die een Huawei Ascend G525 via iBood hadden gekocht.

De open dir toonde van alle klanten een factuur en een foto van de doos met daarop het imei-nummer. Het is onduidelijk of kwaadwillenden de gegevens hebben opgeslagen. Omdat de gegevens in afbeeldingen en pdf-bestanden staan met willekeurige karakters als naam, is het vinden van bepaalde gegevens in de dataset niet eenvoudig.

Huawei heeft de site inmiddels dichtgezet. Woordvoerder Maurice Ouderland zegt dat iemand bij een extern bureau 'een vinkje was vergeten'. "Het was heel stom en het waren ook maar de gegevens van enkele toestellen. Van veel andere toestellen, zoals van de Ascend P6, hebben er geen gegevens online gestaan."

De fabrikant heeft het lek binnen enkele uren na de melding gedicht, maar Tweakers heeft met deze publicatie gewacht totdat de vermeldingen ook uit Google waren verwijderd. Huawei bedankt tweaker MT08 voor het onder de aandacht brengen van het lek. "Zonder hem had dit nog langer online gestaan. We beloven dat het niet meer zal gebeuren."

Opendir Huawei cashback-actie

Reacties (79)

Dr.Root 11 november 2013 16:25

Jeetje, je zou er tussen zitten.. lekker dan al je gegevens op straat.

Er zit wel een luchtje aan, volgens mij zit de concurrentie met Huawei te klooien

Anoniem: 40104 @Dr.Root • 11 november 2013 16:51

De zoveelste keer dat Huawei negatief in het nieuws komt, er is altijd wel iets met dat bedrijf. Ik zou er ver vandaan blijven.

GoT @Anoniem: 40104 • 12 november 2013 09:06

Kijk eens naar de URL: http://huawei-cashbacks.odcbenelux.com/uploads/
Het is niet Huawei zelf die in de fout is gegaan, maar een partner van Huawei
Uiteraard is Huawei (mede)verantwoordelijk en blijkt uit het nieuwsbericht dat ze ook de verantwoordelijkheid nemen voor iets wat een partner heeft gedaan.
Blijkt ook uit het artikel:
Woordvoerder Maurice Ouderland zegt dat iemand bij een extern bureau 'een vinkje was vergeten'

Doe je een Whois op: odcbenelux.com dan had je kunnen zien dat het een Nederlands bedrijf in Barendrecht is dat deze fout heeft gemaakt.
owner-organization: Online Distribution Concepts bv
owner-fname: Dirk-Jan
owner-lname: van Heteren
owner-street: Oslo 16
owner-city: Barendrecht
owner-zip: 2993 LD
https://maps.google.com/m...L5kg-g&cbp=12,197.77,,0,0 <= Hier zitten de echte Mega prutsers !

Edit:
Ga je naar hun website: http://huawei-cashbacks.odcbenelux.com
Staat onderaan: "kijk ook op: https://www.3x3smartdeal.nl/ "
Als je daarop klikt krijg je gelijk een SSL foutmelding.
De fouten vliegen je om de oren, wat een prutsbedrijf !

Om nog maar te zwijgen over de website zelf: Het menu [Contact] zit op een verkeerde plek (IE 10), waar alleen maar verwezen wordt naar een emailadres met een "mailto:" erin.

[Reactie gewijzigd door GoT op 23 juli 2024 07:38]

pascalboy @Anoniem: 40104 • 11 november 2013 16:55

De telefoons zijn zeer goed hoor en wat maakt het uit dat china mee kijkt? als je eens denkt dan weet je dat iedereen mee kijkt dat maakt ook niet uit.

De prijs kwaliteit van dit merk vind ik zelf echt heerlijk super! want dit is teminsten een merk waar ik toen der tijd niet voor het merk hebt betaalt voor mijn gevoel. Daarom zou ik het juist aan iedereen aanbevelen. en btw. dit kan mij ook overkomen en jou ook.

eL-Prova @pascalboy • 11 november 2013 19:21

Inderdaad, de telefoons zijn over het algemeen welk qua hardware / prijsverhouding scherp. Maar daarmee is ook alles van de Huawei gezegd. Ik heb 1,5 jaar geleden (september vorig jaar) een telefoon gekocht. Ideos X5 U8800. Prima telefoon in begin. Daarna behoorlijke drama begonnen. Heb mijn telefoon 3 keer teruggestuurd (en tot op heden) nog altijd niet goed. Eerste keer GPS probleem, daarop bluetooth dat niet meer werkte. Toen nieuwe inhoud gekregen, en nog altijd zonder resultaat is de bluetooth niet gefixed.

Wat mij verder verbaasd is dat de telefoon tot op heden nog geen enkele android upgrade heeft gehad.

pascalboy @eL-Prova • 11 november 2013 20:17

De android updates erger ik me aan dood dat is het enige wat ik van huawei slecht vind, ik wil gewooon mijn android 4.4 kitkat

achja dan maar wachten tot hij komt op mijn nexus 7.

Maar de updates van Android kunnen wel verbetert worden! ik weet het het is offtopic maar het is nu even belangrijk om aantekaarten om hierop te reageren. maar geef toe android moet met een beter update systeem komen.

AmigaWolf

Huawei Ascend

@pascalboy • 11 november 2013 22:47

De android updates erger ik me aan dood dat is het enige wat ik van huawei slecht vind, ik wil gewooon mijn android 4.4 kitkat achja dan maar wachten tot hij komt op mijn nexus 7.

Maar de updates van Android kunnen wel verbetert worden! ik weet het het is offtopic maar het is nu even belangrijk om aantekaarten om hierop te reageren. maar geef toe android moet met een beter update systeem komen.

Man wat klets je toch, we hebben in 1 jaar all 2x een Android Update gehad met Huawei Honor 2 / Ascend G615.

Hij komt standaard uit met Android 4.0.4, niet lang daarna 4 a 5 maanden later Android 4.1.2 en nu all weer ruim een maand Android 4.2.2, dat vind ik erg netjes van Huawei, en ze zijn nog steeds bezig, want er komt nog steeds beta updates uit.

LG is een stuk slechter, de LG Optimus 4X HD heeft nog maar een update gehad Android 4.1.2 (April 2013), en dat was ruim 11 maanden na dat de telefoon uit kwam, en dat is wat ik lees ook de laatste.

[Reactie gewijzigd door AmigaWolf op 23 juli 2024 07:38]

pascalboy @AmigaWolf • 12 november 2013 06:09

Oke sorry hoor dan licht het bij mij want ik heb deze 5 maanden niks gehad. maar ik heb een net wat ander type.

AmigaWolf

Huawei Ascend

@pascalboy • 13 november 2013 00:13

Welke model heb je?

pascalboy @AmigaWolf • 13 november 2013 09:00

pricewatch: Huawei Ascend G510 Zwart

Maar loop me wel af te vragen of ik er ook daadwerkelijk tussen stond, maar dat maakt nu niet veel meer uit.

AmigaWolf

Huawei Ascend

@pascalboy • 13 november 2013 20:26

Ja ik zie het jij zit nog op Android 4.1.

http://cn.ui.vmall.com/emotiondownload.php?type=G510

Maar de Huawei Ascend G510 was ook de goedkope low end versie van hun telefoons, en dat is ook denk ik de reden dat je nog steeds bij Android 4.1.2 zit en niet 4.2.2.

De Huawei Honor 2 / Ascend G615 behoren tot the high end telefoons van Huawei, en daarom hebben wij al meerdere keren een update gehad.

Maar je kan altijd CyanogenMod 10.1 (Android 4.2.2) proberen voor je mobiel:

http://www.modaco.com/topic/365091-rom-cyanogenmod-101-daytona-projekt-build-20131104/

Of MIUI V5 3.9.27:

http://www.modaco.com/topic/365182-rom-miui-v5-3927-nfc-support-screen-state-scaler-multilanguage/

Veel suk6.

VOODOO_WILLIE @AmigaWolf • 12 november 2013 13:44

Optimus 4x HD hier maar ik heb nog geen update gehad. Versie 4.0.3 (nov 2012) staat erop en als ik "Check for update" kies in de settings krijg ik de melding dat ik reeds de laatste versie heb.

AmigaWolf

Huawei Ascend

@VOODOO_WILLIE • 13 november 2013 00:04

hèhè je moet de programma LG Mobile Support Tool gebruiken, dat kan je allemaal duidelijk op internet vinden, het gaat niet meer via je telefoon maar via je computer naar je telefoon met een USB kabel.

Hier zie je een filmpje hoe het moet (is alleen een andere taal):

http://www.youtube.com/watch?v=C8YaT4Ko-pQ

En hier kan je in het Engels lezen hoe het moet:

http://androidromupdate.com/2013/04/14/manual-upgrade-lg-optimus-4x-hd-p880-to-v20a-official-android-4-1-2-jelly-bean/

VOODOO_WILLIE @AmigaWolf • 14 november 2013 23:42

Bedankt voor de info.

Ik ga daar later nog even naar kijken als ik een zooi andere werkzaamheden uit de weg heb.

Opmerkelijk dat de mogelijkheid in de settings staat maar dus totaal nutteloos is.

AmigaWolf

Huawei Ascend

@VOODOO_WILLIE • 15 november 2013 21:32

Ja maar dat is typisch LG, ik koop ook door hun slechte software support ook geen LG meer, dit probleem was al met de LG Optimus 2x speed en ook met de LG Optimus 4x HD.

Goede telefoons maar erg slechte software updates support.

HMC @AmigaWolf • 19 november 2013 16:41

Dus dan aan de CM.

AmigaWolf

Huawei Ascend

@HMC • 19 november 2013 17:43

Ja dat kan je doen, maar als LG al geen Bal geeft om de mensen die hun telefoons kopen, geef ik geen bal om hem, en koop ik gewoon simpel geen telefoons van hun meer.

mr_greenguy @eL-Prova • 11 november 2013 22:42

Sinds kort heb ik op mijn mijn huawei cyanogenmod draaien versie 7.2 dacht ik en die is een stuk stabieler dan de originele firmware :-).

watercoolertje

Smartphones

@Anoniem: 40104 • 11 november 2013 17:07

Dit nieuwsbericht zie ik anders als positief, een bedrijf wat op deze manier omgaat met meldingen over fouten krijgt voor mij een +1!

Fouten maken doen alle bedrijven, fouten erkennen doet nog niet de helft,en daar weer de helft van zal nooit de melder bedanken!

3DDude @Anoniem: 40104 • 12 november 2013 00:00

Inderdaad ik zou er ver vandaan blijven
Heb de Huawei Ascend G500 of 510 geloof ik.
De bootloader is gelockt dus ik heb al 8 keer een unlock code aangevraagd en de gegevens zoals s/n en imei gecheckt.
Elke keer zeggen ze dat ik foute gegevens opgegeven heb en geen unlock kan krijgen.

Ga je naar de NLse helpdesk via twitter.. nee we kunnen je niet helpen dat is zaak van verderop.

Leuk bedrijf.. (niet dus)..

pascalboy @Dr.Root • 11 november 2013 16:49

haha, ik sta er dus bij

Heel erg bedankt tweaker MT08 ! $_/-\o_$

NotSoSteady @Dr.Root • 11 november 2013 16:55

Alles kan nog wel weer worden terug gevonden hoor.

http://www.bing.com/searc...lux.com&sc=0-38&sp=-1&sk=
http://www.bing.com/searc...=-1&sk=&first=1&FORM=PERE

[Reactie gewijzigd door NotSoSteady op 23 juli 2024 07:38]

Frozen @Dr.Root • 11 november 2013 16:55

Bedankt MT08!

BoringDay @Dr.Root • 11 november 2013 22:13

Programmeer foutje, lijkt me niet iets wat men bewust doen terwijl ze hier een marktdeel willen winnen. Kan ieder bedrijf/de beste overkomen.

lepel 11 november 2013 16:26

Goede bezig Huawei!

Een vinkje vergeten aan te zetten? Lijkt me vreemd voor zo'n algemene "uploads" map. Eerder iemand die geen verstand heeft van permissies die een site heeft opgezet.

Kunnen kwaadwillige iets met de IMEI nummers?

Jeoh @lepel • 11 november 2013 16:51

Permissies zijn vaak ook maar vinkjes, en public read chmod is snel geregeld.

lepel @Jeoh • 11 november 2013 17:22

Ik doelde er meer op dat de directories standaard open staan, beetje knullig. Beter standaard afgesloten en dan dat er iemand een keer niet bij kan dan standaard open en dat er dan een keer iedereen bij kan.

Maar dat is al lang en breed behandeld in comments hieronder

Stoelpoot @lepel • 11 november 2013 16:39

Een kwaadwillende kan zelfs iets met de eerste letter van je bijnaam. Met een IMEI-nummer... laten we het houden op heel veel vervelende dingen.

supersnathan94

@Stoelpoot • 12 november 2013 10:19

Nou wow ze kunnen je provider achterhalen en of er een simlock op zit. Veel meer niet want dat zou betekenen dat je provider een groot lek heeft. IMEI codes zijn slechts leuk om te controleren op diefstal en simlocks. Voor de rest kan je er vrij weinig mee.

Anoniem: 35775 11 november 2013 16:27

Helaas staat de Indexes optie van Apache standaard nog steeds aan, natuurlijk geen excuus maar toch wordt deze vaak vergeten aan te passen wat leidt tot dit soort geneuzel.

En zeg nu zelf ... wie wil er nu WEL graag een opendir ?!

watercoolertje

Smartphones

@Anoniem: 35775 • 11 november 2013 17:09

Ik zelf niet maar ben er wel blij mee dat andere open staan hoor

Niet om persoonlijke gegevens te krijgen natuurlijk, maar ik zoek nogal vaak een font wat niet geconverteerd mag worden naar een webversie van dat font, en door de open dirs vind je die vaak alsnog

Dus ja beetje een gemengd gevoel...

[Reactie gewijzigd door watercoolertje op 23 juli 2024 07:38]

Anoniem: 35775 @watercoolertje • 12 november 2013 13:16

Ik bedoelde ook meer vanuit het oogpunt van een beheerder/bedrijf

Maar ik snap dat derden, waaronder ik ook

, weleens blij mee zijn dat er iets open staat.

dwizzy

11 november 2013 16:26

Beveiligingsprocedures (-afspraken, architectuur) dienen er juist voor dat als 'een externe' 'een vinkje vergeet', er geen impact is. Knulligheid van de bovenste plank.

Jammer dat het artikel niet vermeldt om hoe veel gebruikers het gaat, of wat Huawei gaat doen voor de slachtoffers.

DannyvanRooy 11 november 2013 16:31

Off topic: Ben benieuwd of ik er dan ook tussen sta? Ben in bezit van een Huawei Y300 en heb gebruik gemaakt van de 20 euro cashback actie.

On topic: Dit is echt heel dom. Dom dom dom. Ik ben benieuwd hoe tweaker MT08 hier achter is gekomen. Waarom is er uberhaupt een mogelijkheid de map /uploads online te zetten?

beetje vreemd?

ByteMe_

Huawei Ascend

11 november 2013 16:36

Als je de mappenstructuur/website opbouwt en je hebt verstand van zaken is een van eerste zaken waar je aan denkt hoe je de rechten instelt van mappen (vooral met zo'n algemene naam!).

Leuk, dus ik kan er ook bij zitten mocht iemand anders hebben lopen vissen

Anoniem: 382732 @ByteMe_ • 11 november 2013 18:35

Solliciteer bij Huawei. Ze kunnen daar wel iemand gebruiken die nooit fouten maakt.

DirkZzZ @ByteMe_ • 11 november 2013 18:41

Ik zou een dergelijke map niet eens in de "public_html" gooien.

ultimasnake 11 november 2013 16:48

Omdat de gegevens in afbeeldingen en pdf-bestanden staan met willekeurige karakters als naam, is het vinden van bepaalde gegevens in de dataset niet eenvoudig.

Waarom zou dit lastig zijn? Alles downloaden en vervolgens via de zoekfunctie een naam erbij pakken? Weet niet of Windows onderhand zo ver is om snel content van een bestand te indexeren maar met de Mac Spotlight is het een eitje (en ongetwijfeld in Linux systemen ook).

Lijkt er op dat ze de hele map hebben verwijderd/verplaatst een directe bestand aanroeping werkt ook niet meer

[Reactie gewijzigd door ultimasnake op 23 juli 2024 07:38]

mux 11 november 2013 16:50

Feit dat dit onversleuteld opgeslagen stond is al erg genoeg. Dat het open was voor het publiek is lang niet het ergste.

Lennart-IT @mux • 11 november 2013 17:05

Een vinkje... belachelijk!

Hmm basis .htacces bestand heeft men zeker nooit van gehoord. Een multinational zou op server configuratie dit probleem kunnen oplossen. Men legt dit soort security aspecten niet neer met een administratie persoon die alleen datasets in het systeem voert. Vanuit security aspect zou bij een nieuwe dir dit voor niemand toegankelijk moeten zijn en alleen wanneer een beheerder de rechten toevoegt aan de map om uberhaubt toegankelijk te zijn.

Hierna zou men beveiliging kunnen invoeren wat wss dit vinkje is om alleen toegankelijk te maken voor bepaalde ip ranges of een bepaalde in-house administratie software app waarin weer verschillende rechten zijn toegediend.

In conclusie, amateuristisch opgezet en duidelijk uit eigen gemak opgebouwd.

Waar staat ook alweer welke wettelijk vastgelegd minimale beveiligingen een bedrijf moet hebben op IT gebied? ow ja... nergens

WhatsappHack

Privacy
Smartphones

@Lennart-IT • 11 november 2013 19:20

Dat vinkje schreef waarschijnlijk weg naar .htaccess, slimmerik

Of in geval van bepaalde guis of cp's mogelijk zelfs naar een httpd.conf of iets dergelijks.
Van die achterlijke Windows GUI's en bepaalde control panels voor Linux servers overschrijven alles wat ze op hun pad tegenkomen dat conflicteert als je bepaalde opties in of uitschakeld... Als de medewerker in kwestie voldoende rechten had is t snel gebeurd in dit soort situaties.

Dus een vinkje is absoluut niet vreemd en je "oplossing" zegt nogal weinig... Zeker omdat je niet weet op welke manier hun setup is ingedeeld...
Een echte IT-er roept niet zomaar wat zonder kennis van de front en backend configuratie van het bedrijf en zonder idee wat de bedoeling was... Dat is puur interessant doen.

BoringDay @Lennart-IT • 11 november 2013 22:23

Kan iedereen gebeuren, misschien was de request niet goed doorgekomen.
Misschien hadden ze wel hele lange dagen en drukke werkweek en een overdruk social live.

Een fout maken is iets compleet anders dan iets doelbewust doen.

We kunnen natuurlijk hard 'BOE' roepen maar kom op wie heeft er nog nooit eens een vergelijkbaar domme fout gemaakt?

Sneek @mux • 11 november 2013 16:54

ehm. dit lijkt mij eigenlijk wel het ergste.. overdrijf je niet een beetje?

AlphaWierie 11 november 2013 16:53

"een vinkje vergeten" ... Zo een groot lek ontstaat niet door het vergeten van een vinkje. Ik blijf het bedrijf gevaarlijk vinden niet alleen om alle spionage beschuldigingen, maar ook door de grote invloed van de Chinese overheid op het bedrijf.

watercoolertje

Smartphones

@AlphaWierie • 11 november 2013 17:11

Het is wel degelijk een kwestie van een vinkje zo simpel kan open dir aan/uit zetten wel zijn

Het lek is helemaal niet groot, de gevolgen kunnen eventueel groot zijn, maar het lek ansich niet echt. Als je al van een lek kan spreken en niet gewoon een domme actie

[Reactie gewijzigd door watercoolertje op 23 juli 2024 07:38]

masauri 11 november 2013 16:26

Een gsm toestel was wel op zijn plaats geweest ipv een simpel bedankje is mijn mening.
Damage Control had je meer gekost.

GMavak @masauri • 11 november 2013 16:37

Aan iedereen een nieuwe mobiel geven?
Het is een menselijke domme fout maar om nou aan iedereen een compleet nieuwe mobiel te geven gaat wel erg ver. Het minste wat ze zouden kunnen doen is misschien 1 jaar extra garantie.

masauri @GMavak • 11 november 2013 16:44

Even mijn bericht herlezen

Ik heb het over een simpel bedankje voor tweaker MT08.
Niet over iedereen die er in stond.

Op dit item kan niet meer gereageerd worden.

Huawei zet privégegevens klanten cashback-actie onbeschermd online

Lees meer

Reacties (79)

Sorteer op:

Weergave: