Bioscoopketen Vue lekt klantgegevens
Bioscoopketen Vue is getroffen door een datalek. Zowel namen als bankrekeningnummers van honderdduizenden klanten bleken via internet vrij toegankelijk voor onbevoegden. Dit aangezien security-keys die de bestanden toegankelijk maakte op de website van Vue bleken te staan.
Dit meldt programmeur Sten Lankreijer uit Hilversum aan RTL Nieuws. Lankreijer ontdekte het lek en trok hierover aan de bel bij het bedrijf. De website bleek een tweetal kwetsbaarheden te bevatten. Zo was de broncode van de website toegankelijk, wat het mogelijk maakt de werking van de website te analyseren. Hieruit bleek dat een functie om afbeeldingen te verkleinen een kwetsbaarheid bevat, die het mogelijk maakte aanvullende toegang te verkrijgen.
Het tweede beveiligingsproblemen zit in de inlogpagina van de Vue-database. Een aanvaller kon hierop een SQL-injectie uitvoeren, wat het mogelijk maakte ongewilde programmeercode in te zien.
Klantgegevens inzichtelijk
Het buiten van de kwetsbaarheden maakte het onder meer mogelijk klantgegevens van Vue in te zien. Zo meldt RTL Nieuws inzage te hebben gehad in alle transacties die op een willekeurige dag plaatsvonden, inclusief bankrekeningnummer, voorletter, achternaam, woonadres, geboortedatum en e-mailadres.
Er is geen bewijs dat het lek door kwaadwillenden is uitgebuit. Een woordvoerder van Vue meldt aan RTL Nieuws dat de problemen inmiddels zijn verholpen.