Beveiligingsbedrijf ESET heeft ontdekt dat de gegevens van mensen die een leaseauto rijden op een centrale server toegankelijk waren. Het gaat om namen, adressen, leasecontracten en bekeuringen die in te zien waren bij in totaal 52 leasebedrijven.
ESET-directeur Dave Maasland zegt tegen het AD dat het om de gegevens van 180.000 tot 250.000 leaserijders gaat. Het beveiligingsbedrijf vond de gegevens toen het op zoek was naar een nieuwe leasemaatschappij. Zo was het binnen ‘een paar minuten’ mogelijk om toegang tot de server te krijgen, al legt ESET niet uit op welke manier dat mogelijk was. Maasland zegt tegen RTL dat het ‘een kwestie van cijfers aanpassen’ was en dat het bij de kwetsbare software om LeaseWise ging.
Na ontdekking van het lek informeerde ESET de getroffen bedrijven, waarna het lek werd gedicht. Het is onduidelijk of er misbruik van de gegevens is gemaakt. Het Verzekeringsbureau Voertuigcriminaliteit laat aan het AD weten dat adressenlijsten waarop staat welk type auto op welk adres aanwezig is van waarde kunnen zijn voor criminelen. Bijvoorbeeld om de auto’s of onderdelen ervan te stelen.
Volgens Maasland waren ook andere gegevens in te zien, bijvoorbeeld kilometerstanden en de locatie van de opslag van winterbanden.
Update, 09:35: Een gepubliceerde blogpost bevat meer informatie over de manier waarop ESET toegang kon verkrijgen tot de gegevens. Daaruit blijkt dat er in één ASP.Net-portaal de sessie van een andere gebruiker over te nemen was door session prediction. Dat was mogelijk door bepaalde id’s steeds te verhogen.
Ook in een tweede portaal was het mogelijk om een volgnummer in de url te verhogen en zo toegang tot de gegevens van een anders persoon te krijgen. Door het aanpassen van een query was het bovendien mogelijk om een csv-lijst met data van meer dan 3400 bestuurders op te vragen. Nadat bleek dat de gegevens van verschillende maatschappijen op één server stonden, waren deze ook door middel van een aangepaste query op te vragen.
Bron: Tweakers