Door datalekken bij een groot aantal autoleasebedrijven zijn de gegevens van honderdduizenden zakelijke leaserijders mogelijk op straat komen te liggen. Dat meldt IT-beveiliger Eset, dat zegt inmiddels de lekken te hebben gedicht.
Eset heeft verschillende gaten ontdekt in de portalen van zeker 52 leasemaatschappijen. Daardoor is de bescherming van persoonsgegevens, leasecontracten en leasebedragen komen te vervallen. Het bedrijf weet niet of er misbruik is gemaakt van het openbaar worden van de gegevens. Volgens Eset gaat het om “enorme datalekken” die bij toeval zijn ontdekt toen het bedrijf voor de eigen medewerkers een nieuwe beheerder van het leasewagenpark zocht. “Voordat we met een partij in zee wilden gaan, analyseerden de security-experts de beveiliging van de klantportalen van enkele leasemaatschappijen. Al snel bleek dat het bij de onderzochte leasemaatschappijen betrekkelijk eenvoudig was om toegang te verschaffen tot privacygevoelige informatie van derden, zoals alle gegevens omtrent de auto en persoonlijke informatie van de berijder. Dergelijke informatie wordt zelfs door de RDW niet gedeeld.”
Zelfde softwarepakket
Het zou gaan om gaten in een en hetzelfde softwarepakket dat door de meeste leasemaatschappijen wordt gebruikt. “Weliswaar hadden de maatschappijen allemaal een eigen versie van het portaal, maar na onderzoek van Eset bleek dat ze één dataserver deelden. Hoewel elke maatschappij een eigen database op die server had, maakte elk portaal verbinding met hetzelfde account. Daardoor was het mogelijk om gegevens bij alle aangesloten leasemaatschappijen op te vragen. Het lukte een onderzoeker van ESET bijvoorbeeld om zonder problemen de eigen auto en zijn privégegevens op te vragen, terwijl de wagen bij een andere leasemaatschappij was ondergebracht. De expert kreeg eenvoudig toegang tot alle klantgegevens van maatschappijen die werkten met de bewuste software.”
Eigen verantwoordelijkheid
Volgens Eset blijven de leasemaatschappijen zelf verantwoordelijk voor de veiligheid van hun portaal. Het bedrijf wijst erop dat de informatiebeveiliging in de hele keten moet worden bekeken en niet alleen in het eigen netwerk. “We zijn namelijk allemaal verbonden.” Bedrijven moeten hun softwareleverancier volgens Eset structureel vragen om een periodieke veiligheidstest.
Geef een reactie