Beveiligingslek legt privégegevens van honderdduizenden leaserijders op straat

Beveiligingslek legt privégegevens van honderdduizenden leaserijders op straat

Beveiligingsonderzoekers van ESET hebben lekken gevonden die tenminste 52 leasemaatschappijen treffen. Deze kwetsbaarheden waren aanwezig bij softwaremaker CarWirse ICT, maar zijn inmiddels opgelost. CarWise ICT voorziet meerdere leasemaatschappijen van software. ESET kwam de beveiliginglekken tegen tijdens het analyseren van de klantportalen van de leasemaatschappijen die software van Carwise gebruiken.

Mogelijk zijn de gegevens van honderdduizenden zakelijke leaserijders op straat beland. De persoonsgegevens, leasecontracten en leasebedragen waren door de gaten in softwarepakketten in te zien. De bedrijven gebruikten een eigen versie van het portaal, maar deelden één dataserver. Daardoor konden de gegevens van alle aaneengesloten leasemaatschappijen opgevraagd worden. Eén van de onderzoekers ontdekte de kwetsbaarheden eigenlijk per toeval. Hij was op zoek naar een nieuwe beheerder van het leasewagenpark. ESET wilde de portalen eerste analyseren voordat er met een maatschappij in zee gegaan werd.

Het bleek eenvoudig om de gevoelige informatie van huurders te bemachtigen. Een ESET-medewerker kon bijvoorbeeld zonder problemen de eigen auto en privégegevens opvragen. Zijn wagen was eigenlijk bij een andere maatschappij ondergebracht dan waar hij de gegevens opvroeg. Daarna kwam de betreffende medewerker erachter dat de alle klantgegevens van maatschappijen die de software gebruikten waren in te zien. De gevoelige informatie wordt ook niet door het RWD gedeeld. Door de informatie kunnen cybercriminelen e-mails met malware versturen. Daarnaast zou de ene maatschappij gemakkelijk de klanten van een andere maatschappij kunnen benaderen bij het afgelopen van het leasecontract.

Verantwoordelijkheid

In een verklaring laat ESET Nederland-directeur Dave Maasland weten de leasemaatschappijen als slachtoffer van kwetsbaarheden van de vaak gekochte software te zien. “Toch is het de verantwoordelijkheid van een leasemaatschappij om klanten een veilig portaal aan te bieden. Ze kunnen deze niet bij derden neerleggen, bijvoorbeeld leveranciers van softwarepakketten. Nu ging het om leasemaatschappijen, een volgende keer is het een andere branche”, aldus Maasland.

ESET lichtte de getroffen maatschappijen in, waarna er met behulp van  het beveiligingsbedrijf de lekken gedicht werden. De beveiligingsonderzoeker laat weten dat het onduidelijk is of er de afgelopen tijd misbruik gemaakt is van de lekken. Het is niet bekend of de gegevens ook daadwerkelijk bemachtigd zijn. Mogelijk was ESET er dit keer op tijd bij.