Beheer

Privacy
ah_winkel

'Appie' lekt gegevens 10.000 klanten

Klantgegevens volgens grootgrutter zichtbaar door inmiddels herstelde programmeerfout in website.

© CC0 - Flickr.com L1
9 november 2018

Klantgegevens volgens grootgrutter zichtbaar door inmiddels herstelde programmeerfout in website.

Gegevens van 10.000 gebruikers van ah.nl zijn per ongeluk gedeeld met derden. Albert Heijn laat weten dat de inloggegevens van de accounts zichtbaar waren voor online service providers, en heeft de inmiddels herstelde fout gemeld Autoriteit Persoonsgegevens. Er is volgens Albert Heijn nog geen ongebruikelijke activiteit waargenomen met betrekking tot de inloggegevens of gebruikersaccounts.

Het zou gaan om een programmeerfout in de site die inmiddels is hersteld. Albert Heijn werd op 6 november van dit jaar op de programmeerfout gewezen en heeft naar eigen zeggen direct de betrokken gebruikers uit voorzorg geblokkeerd en de Autoriteit Persoonsgegevens op de hoogte gebracht. Ook de online service providers zouden direct op de hoogte zijn gebracht en kregen direct de opdracht de gegevens te verwijderen. Volgens de supermarktketen zijn er dus geen signalen dat er misbruik is gemaakt van de gegevens.

Gegevens in URL

De datalek werd volgens de grootgrutter veroorzaakt door een programmeerfout in de software die Albert Heijn gebruikt om het inloggen op AH.nl mogelijk te maken. Door deze programmeerfout werden de inlognamen en het wachtwoord kort zichtbaar in de URL. "Uiteraard niet de bedoeling", volgens de supermarkt. 

Op de eigen website gaat AH door het stof. “Veilig gebruik van onze systemen heeft de hoogste prioriteit voor Albert Heijn”, stelt Michel Ruijterman, Operationeel IT Directeur Albert Heijn. “Wij bieden dan ook onze oprechte verontschuldigingen aan, aan de betrokken klanten.”

Lees meer over
Lees meer over Beheer OP AG Intelligence
3
Reacties
Hans van de Ven 10 november 2018 17:01

@Ronald L
Als AH ze zou hashen kunnen ze geen cleartext wachtwoord tonen. Dus ... toch niet gehashed blijkbaar. Foei!

RonaldL 09 november 2018 17:13

@Klaas ik verwacht dat het hier om een inlogformulier gaat waar per ongeluk een GET ipv een POST is gebruikt. Dat ze wachtwoorden in cleartext opslaan lijkt me hoogst onwaarschijnlijk.

Klaas 09 november 2018 14:34

Serieus AH? Wachtwoorden zichtbaar? Dat suggereert dat de wachtwoorden in clear text in de database staan. Elk zichzelf (en eindgebruikers) respecterend bedrijf weet toch inmiddels dat wachtwoorden niet in clear text maar gehasht opgeslagen dienen te worden... Dit zegt genoeg over het niveau van de hobbyisten die dit voor AH in elkaar geknutseld hebben...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.