• Carclean.com - The Car Care Shop

    Welkom op het forum van Carclean.com! Carclean.com is dé shop voor autopoetsmiddelen. En hier op ons forum vind je antwoorden op al je (poets)vragen.

    Ben je op zoek naar autopoetsmiddelen en wil je deze aanschaffen? In onze Carclean.com webshop vind je het grootste assortiment car care producten van de Benelux.

    • Unieke speciaalzaak in autopoetsmiddelen
    • Advies op maat door vakkundige medewerkers
    • Ongekend groot assortiment
    • Voor 21.00 uur besteld, dezelfde werkdag verzonden!
    • Makkelijk betalen: iDEAL, Credit Card, Mister Cash

Kwetsbaarheid gevonden én gedicht in het 'account dashboard' bij het downloaden van order-PDF's

Tim

Master of Bling
Medewerker
2 mrt 2008
10.673
200
Berkel en Rodenrijs
Gisteren heeft een klant van Carclean.com, tevens 'ethisch hacker', ontdekt dat het mogelijk was om, vanuit de beveiligde klantomgeving, order-PDF's van anderen te kunnen downloaden door het ordernummer in een url aan te passen.

Deze klant heeft het lek direct bij ons gemeld en wij hebben het lek ook direct gedicht. Het lek bevond zich in een Magento-module om van facturen en orders een nette PDF te maken. De Duitse modulemaker, SNM portal, is ook op de hoogte gesteld en heeft een update voor de module uitgebracht.

Door een PDF van iemand anders te kunnen downloaden was er potentieel toegang tot:

Naam, adres, woonplaats, orderdatum, ordernummer, bestelde producten, betaalmethode en totaalbedrag.

Er was geen toegang tot gevoelige accountinformatie zoals login, password, rekeningnummers enzovoorts.

Het lek was alleen toegankelijk voor geregistreerde én ingelogde Carclean.com klanten die eerder een bestelling hebben geplaatst én het ordernummer doelbewust in de link van een bestaande order , met de hand, aan gingen passen.

Het lek is gemeld bij de Autoriteit Persoonsgegevens. Er zijn geen aanwijzingen dat het lek actief is gebruikt.

Vragen? Mail of bel ons!
 
Dat dacht ik ook in eerste instantie, iets in de trant van:

Hij had een lek gevonden,
direct werd Carclean ontbonden:
dat hij diverse informatie,
door een bepaalde combinatie,
van klanten kon zien:
was toch niet de bedoeling, misschien?
Hij stuurde dus naar Carclean een bericht,
en snel werd het lek gedicht!

Toch netjes dat @Tim dit "wereldkundig" maakt en ons hierin deelt.
 
Dit is eigenlijk de eerste keer dat ik bij een datalek, zo duidelijk zie uitgelegd waar het precies om gaat, en het is uitzonderlijk snel opgelost. Pluim voor Carclean.:heart: