Hema haalt usb-sticks vol beveiligingsgaten uit de handel
Hema heeft een reeks usb-sticks uit de handel gehaald die ernstige beveiligingslekken blijken te bevatten. De usb-sticks installeerden automatisch software die verouderd was en kwetsbaarheden bevatten. Ook bleek de meegeleverde cloudopslag dusdanig slecht beveiligd dat opgeslagen data door onbevoegden kon worden gedownload.
Het gaat om de usb+-sticks van Hema, die geleverd zijn met 8GB of 16GB opslaggeheugen. De usb-sticks boden gebruikers toegang tot gratis cloudopslag. Zowel de usb-sticks als de software voor de cloudopslag zijn ontwikkeld door een externe partij. Hackers van de hackersspace Revspace uit Den Haag ontdekten allerlei kwetsbaarheden in de usb-sticks.
Persoonlijke gegevens
De volgende informatie kon door de kwetsbaarheden uitlekken:
- E-mailadres
- Naam, adres, telefoonnummer (indien ingevuld)
- Wachtwoord
- Bestandsnamen
- De bestanden zelf
De data blijkt op allerlei manieren te kunnen lekken. Zo blijkt de cloudopslag, waarvoor Amazon S3 wordt gebruikt, slecht beveiligd te zijn. Door een configuratiefout kon het beheerderswachtwoord van Amazon S3 bucket eenvoudig worden achterhaald. Met dit wachtwoord kon vervolgens toegang worden verkregen tot de volledige bucket en het beheerdersaccount van de server, waarna de opslagen data van alle klanten toegankelijk was.
Registratiegegevens versturen via domein van Apple
Ook opvallend is de wijze waarop registratiegegevens werden verwerkt. Deze werden vanaf het adres info@appstore.com doorgestuurd naar een Gmail-adres. Het domein appstore.com is echter in handen van Apple, waar de ontwikkelaars van de usb-sticks geen banden mee lijken te hebben. Indien er bij het verzenden van de data iets fout gaat wordt deze foutmelding vermoedelijk doorgestuurd naar de mailbox van Apple, die hierdoor de registratiegegevens kreeg toegespeeld.
“Je bestanden verwijderen uit het "online geheugen" is mogelijk, maar je moet dat via de Windows-tool doen. Als je de bestanden verwijdert via de website, worden ze NIET daadwerkelijk verwijderd, ze blijven namelijk voor iedereen toegankelijk downloadbaar”, schrijven de hackers op Revspace. “Zelfs als het lukt om je bestanden te verwijderen, dan nog is dit jarenlang lek geweest. Misschien zijn wij de eerste die dit lek hebben ontdekt, maar het is goed mogelijk dat kwaadwillenden ons voor waren. Ze hebben niet opgemerkt dat wij toegang hebben gehad tot hun broncode, database en bestandsopslag, dus eventueel misbruik zullen ze ook niet hebben doorgehad.”
‘Je gegevens liggen op straat’
“Ga ervan uit dat al je gegevens op straat liggen, en neem maatregelen om erger te voorkomen. Heb je persoonlijke informatie online gezet via dit systeem? Zet je schrap en bereid je voor op de gevolgen van identiteitsfraude.”