LaCie lekte data

Het datalek bij LaCie werpt vragen op rond fraude-misdrijven in de e-handel, en bij het notificatieproces naar de klanten toe.

Medio maart werd opslagspecialist LaCie – nu eigendom van Seagate – op de hoogte gebracht dat hun on-line web-shop was gehackt met malware, waardoor vermoedelijk al een jaar lang klantengegevens werden gelekt.

Hoewel het bedrijf geen informatie verstrekte over de aard van de malware, dook de webshop van LaCie wel op in een lijst van sites die door een botnet was geïnfecteerd. Die hack steunde op het gebruik van een verouderde versie van Adobe’s Colfdfusion webapplicatieplatform, hoewel Adobe ondertussen wel al patches had uitgebracht.

Experten zien in de perikelen rond de Coldfusion hacks verschillende problemen opduiken. Zo bleken de getroffen bedrijven al één (tot twee) jaar te lijden onder de aanval, zonder deze zelf op te merken. In een gerapporteerd geval betaalde het slachtoffer in die periode een ander bedrijf om de website te testen op zwakheden (onder meer door aanvallen van buitenaf), maar ook dat extern bedrijf had niets gemerkt. In de meeste gevallen werden de bedrijven uiteindelijk toch door derden op verwittigd van het probleem, en dus niet door eigen controles.

Financiële experten wijzen er voorts op dat het aantal fraude gevallen in webshops stijgt, omdat de uitbaters onvoldoende investeren in bijkomende authenticatie-voorzieningen. Als redenen voor die onwil wordt gewezen op de kosten, de wens de klant het zo makkelijk mogelijk te maken en – wellicht de belangrijkste reden – omdat ze er niet toe worden gedwongen door een reglementering (zoals in de bankwereld). Problemen als Heartbleed, en recent de perikelen van Samsung’s vingerafdrukscanner, zijn bijkomende redenen om een meervoudig ID- en authenticatiesysteem aan te wenden.

Ook moeten er stringentere regels komen voor de wegwerken van securityfouten in webshop-toepassingen, zodat gekende zwakheden sneller worden weggewerkt. Ook moeten ontwikkelaars meer aandacht besteden aan de veiligheid van de eigen code en deze van externe bibliotheken en frameworks.

Vragen bij het notificatieproces

LaCie informeerde over het incident op zijn website – waarvan het webshop-gedeelte een poos was afgesloten – maar dan wel in het Engels, en niet in het Nederlands of Frans (hoewel het de Belgische site betrof).

Uit de boodschap blijkt dat het bedrijf op 19 maart op de hoogte werd gebracht door de FBI, waarna een forensisch onderzoeksbedrijf (Protiviti) werd ingeschakeld. Op basis van hun onderzoek bleek de site al kwetsbaar te zijn geweest vanaf 27 maart 2013 (of ongeveer een jaar). De ‘notificatie’ van de klanten startte pas op 11 april, en dan nog duurde het een poos eer klanten in bredere kring op de hoogte werden gebracht. Zo kreeg minstens één Belgische klant pas 11 dagen later (22 april) een boodschap terzake (in het Nederlands), ondanks een “we wilden u zo snel mogelijk op de hoogte brengen van dit incident.”

Het probleem bij dit alles is dat er blijkbaar nergens wordt bepaald binnen welke tijdspanne die ‘zo snel mogelijke’ notificatie moet worden uitgestuurd. In de VS is de notificatie-wetgeving vaak een kwestie van de staten, vaak zonder duidelijke termijnen. Zelfs een federaal wetsvoorstel in de Amerikaanse senaat, van eind 2013, heeft het slechts over “zo snel als praktisch mogelijk en zonder onredelijke verwijl.” Er mag tijd worden genomen om de omvang van het datalek te bepalen, wie de mogelijks getroffen personen zijn en om de nodige herstellingen aan het systeem uit te voeren, klinkt het voorstel, maar bijkomende vertragingen zijn mogelijk als een gerechtelijk onderzoek of de nationale veiligheid dat vereisen. Concreet betekent dit alles dat de uiteindelijke getroffene, de klant van de webshop, als laatste en pas laat weet krijgt van het probleem. Hier is dus duidelijk nog ruimte voor verbetering.