Ernstig datalek bij Blokker: gegevens honderdduizenden klanten op straat
![13022021 blokker.jpg](https://radar.avrotros.nl/cms-assets/64314c64-e6fe-4254-85bb-15822c959307.webp)
Het was een koud kunstje om gegevens van andermans bestelling op te vragen bij Blokker. Dat blijkt uit onderzoek. Een tipgever meldde het datalek, waarna Opgelicht?! de proef op de som nam.
Jouw persoonsgegevens op straat
Door het datalek konden willekeurige gebruikers met een eenvoudige handeling bij de bestelgegevens komen van honderdduizenden klanten, zonder dat daar specifieke technische kennis voor nodig was. Als jij iets bij Blokker hebt besteld, is de kans dus groot dat ook jouw gegevens op straat liggen. Het betreft data van ruim 720.000 bestellingen. Het gaat hierbij niet alleen om de producten die je hebt besteld, maar ook naam- en adresgegevens. Kwaadwilligen konden tevens bij telefoonnummers van deze klanten.
Hoe heeft dit kunnen gebeuren?
Het datalek roept vragen op. Hoe heeft dit kunnen gebeuren? Uit onderzoek blijkt dat de bestelmodule van de webshop onjuist geconfigureerd zou zijn. Hierdoor kon iedereen in een handomdraai alle gegevens inzien door simpelweg het unieke ordernummer in de adresbalk van je browser handmatig te wijzigen. Een aanvullende vorm van beveiliging ontbrak, waardoor er ook niet werd gecontroleerd of het ordernummer dat je handmatig opgeeft in je adresbalk ook daadwerkelijk bij het account hoort waarmee je bent ingelogd.
Reactie Blokker op datalek en meer informatie
De collega’s van Opgelicht?! hebben de casus voorgelegd aan ethisch hacker Sijmen Ruwhof. Benieuwd naar zijn reactie én de reactie van Blokker? Je kunt hier lezen wat de expert en de winkelketen zeggen over deze grove fout:
Blokker: 'We vinden het vreselijk dat er een datalek is ontstaan.'