Security: Direct Object Reference (IDOR) kwetsbaarheid

Datum
12-10-2020 19:11
Partner
MijnWebshopPartner.nl
Volgens onze security policy zijn we op 18 september geconfronteerd met de melding dat er een fout in onze webshop zat waardoor persoonsgegevens van klanten ingezien konden worden. Deze melding is door ons in behandeling genomen en binnen 3 dagen opgelost. 
 
Doordat het lek gevonden werd door iemand die zich een ethisch hacker noemt is er verder geen data gelekt. Tevens zijn de logboeken onderzocht of derden deze kwetsbaarheid niet eerder misbruikt hebben, dit blijkt niet het geval te zijn geweest. 
 
De hacker heeft zich bij ons gemeld en heeft ons conform de protocollen de benodigde informatie aangereikt zodat we het lek konden dichten. 
 
Omdat er slechts enkele records benaderd zijn en er geen volledige download is geweest van deze data en er geen eerder misbruik van deze kwetsbaarheid is het niet nodig om melding te maken bij de autoriteit persoonsgegevens. De kwetsbaarheid is gevonden door dhr. Dennis Baaten.
 
Ondanks het feit dat de mailserver van dhr. Baaten een storing had en (onze) mails niet bij hem aankwamen hebben we uiteindelijk een goed contact gehad en is deze case gesloten. Wij willen dhr. Baaten hartelijk danken voor het vinden en melden van deze kwetsbaarheid.