Carwise: groot datalek, gegevens leaserijders niet op straat

Datalek • In de module I-Wise van softwareleverancier Carwise is een lek ontdekt waardoor in potentie van circa honderdduizend leaserijders gegevens ingezien konden worden. Carwise heeft het lek gedicht. Ondanks dat Carwise geen aanwijzingen heeft dat er gegevens op straat zijn gekomen, adviseert het klanten die de module gebruiken wel melding te maken van het lek.
Bart Kuijpers Bart Kuijpers
• Laatste update:

Dat bevestigt Carwise-directeur Rene Fabrie aan Automotive.

I-Wise is een module waarbij een gedeelte van de klanteninformatie van leasemaatschappijen extern wordt opgeslagen, zodat klanten hun wagenparkgegevens kunnen bekijken. Volgens Fabrie is het bedrijf dat het lek ontdekt heeft, beveiligingsbedrijf Eset, via een door een gebruiker verstrekte login in I-Wise gekomen. “Nadat zij ingelogd waren zijn zij gaan graven om te kijken of zij gegevens van andere klanten uit het systeem konden halen. Zij zijn uiteindelijk bij deze gegevens terecht gekomen. Zoals de naw-gegevens van bestuurders en gegevens over de leasecontracten.” Volgens Fabrie zijn deze gegevens in veel gevallen niet of onvolledig ingevuld. “Maar dat neemt niet weg dat het potentieel om veel data gaat.”

Afgelopen woensdag is het lek gemeld aan Carwise. “Wij hebben toen gelijk actie ondernomen en het lek gedicht. We zijn onze klanten vervolgens gaan informeren dat er een lek was en ze geadviseerd het lek te melden bij de Autoriteit Persoonsgegevens.” In het weekend werd duidelijk dat het AD en ook RTL van plan waren te publiceren. “Daar zijn we behoorlijk van geschrokken. Volgens ons gaan deze publicaties alle proporties te buiten. We hebben na de melding het lek gelijk gedicht en zover wij weten zijn er geen ongelukken gebeurd met de data.”

Tegen het AD zegt Wouter Verkerk, directeur van het Verzekeringsbureau Voertuigcriminaliteit, dat hij onthutst is. “Met zulke datalekken maak je het voor boeven makkelijk shoppen.”

Volgens Fabrie is dit reden om meer te investeren in cybersecurity. “Wij gaan zelf ook hackers inhuren om onze systemen te testen, want het schrijven van software blijft mensenwerk waarbij fouten worden gemaakt. Dat is nu wel gebleken.” 

Meer beveiliging nodig

Dave Maasland, directeur Eset Nederland, stelt dat meer beveiliging hard nodig is. “De lekken zijn gedicht en de gegevens van hun klanten zijn weer veilig. De berijders en de leasemaatschappijen zijn feitelijk slachtoffer van kwetsbaarheden in de gebruikte en aangekochte software. Toch is het de verantwoordelijkheid van een leasemaatschappij om klanten een veilig portaal aan te bieden. Ze kunnen deze niet bij derden neerleggen, bijvoorbeeld leveranciers van softwarepakketten. Nu ging het om leasemaatschappijen, een volgende keer is het een andere branche. Om lekken te voorkomen is het belangrijk om de informatiebeveiliging in de hele keten te bekijken en niet alleen naar het eigen netwerk en omgeving. We zijn namelijk allemaal verbonden. Een optimale, up-to-date beveiliging blijft daarom van groot belang. Ook een periodieke securitytest is nodig en bedrijven moeten hun softwareleverancier structureel hier naar vragen.”

Nuance

Norbert Karthaus, directeur van Hiltermann Lease groep en met ingang van komend jaar voorzitter van Autolease Inkoop Combinatie, snapt de ophef. “Natuurlijk is het heel vervelend. En we moeten dit met zijn allen zeer serieus nemen. Wij hebben vanochtend al melding gemaakt van het mogelijke lek bij de Autoriteit Persoonsgegevens. En we zijn nu samen met Carwise aan het uitzoeken of er klanten van ons geraakt zijn, maar een klein deel van onze klanten gebruikte I-Wise.” Toch wil hij een nuance aanbrengen. “Zover we weten liggen er geen gegevens op straat of zijn deze in handen gekomen van derden. Twee maanden geleden hebben ons laten hacken en de hackers konden toen geen beveiligingslek vinden. Eset had een inlog en is eenmaal binnen gaan zoeken.” Karthaus vindt de aanpak van Eset niet netjes. “Dat ze dit doen, snap ik wel. En ook dat ze aanbieden om te helpen het lek te dichten. Maar Carwise heeft het het lek direct gedicht en zijn relaties op de hoogte gebracht. Dat Eset dan toch zo de media opzoekt verdient geen schoonheidsprijs. Maar goed, het leert ons allemaal dat we heel goed moeten opletten waar onze data staat en hoe we die kunnen beschermen.”

Geplaatst in rubriek:
Bart Kuijpers
Bart Kuijpers

Bart Kuijpers (’80) werkt sinds 2008 bij Automotive. Hij is als redacteur verantwoordelijk voor de portefeuilles Merkkanaal en Occasions. Bart houdt van voetbal en van Radiohead. Hij rijdt sinds februari '23 een Tesla en is daar erg tevreden (relatief betaalbaar en fantastische software) mee, maar hij is verder geen fan van het merk.

Reacties

  • Stephan van Rooij

    Ik vind het redelijk laf om zo te reageren.
    De ontwikkelaars van dit product moeten nodig op cursus gestuurd worden.

    – laten we zelf een sessie manager maken, wij kunnen dat beter dan de ontwikkelaars van ASP.NET zelf.
    – de SQL-query als parameter (dat er niet eens sql injection nodig is)
    – alle klanten in een losse database (best goed!), maar dan hetzelfde database account gebruiken?

    Als de programmeurs zulke basale fouten maken, dan is het nog maar de vraag of er geen gegevens zijn gedownload. Ik vraag me persoonlijk af of de logging dan wel op orde is? Maar jullie zijn er blijkbaar van overtuigd dat er geen gegevens zijn gedownload….

Carwise: groot datalek, gegevens leaserijders niet op straat | Automotive Online

Carwise: groot datalek, gegevens leaserijders niet op straat

Datalek • In de module I-Wise van softwareleverancier Carwise is een lek ontdekt waardoor in potentie van circa honderdduizend leaserijders gegevens ingezien konden worden. Carwise heeft het lek gedicht. Ondanks dat Carwise geen aanwijzingen heeft dat er gegevens op straat zijn gekomen, adviseert het klanten die de module gebruiken wel melding te maken van het lek.
Bart Kuijpers Bart Kuijpers
• Laatste update:

Dat bevestigt Carwise-directeur Rene Fabrie aan Automotive.

I-Wise is een module waarbij een gedeelte van de klanteninformatie van leasemaatschappijen extern wordt opgeslagen, zodat klanten hun wagenparkgegevens kunnen bekijken. Volgens Fabrie is het bedrijf dat het lek ontdekt heeft, beveiligingsbedrijf Eset, via een door een gebruiker verstrekte login in I-Wise gekomen. “Nadat zij ingelogd waren zijn zij gaan graven om te kijken of zij gegevens van andere klanten uit het systeem konden halen. Zij zijn uiteindelijk bij deze gegevens terecht gekomen. Zoals de naw-gegevens van bestuurders en gegevens over de leasecontracten.” Volgens Fabrie zijn deze gegevens in veel gevallen niet of onvolledig ingevuld. “Maar dat neemt niet weg dat het potentieel om veel data gaat.”

Afgelopen woensdag is het lek gemeld aan Carwise. “Wij hebben toen gelijk actie ondernomen en het lek gedicht. We zijn onze klanten vervolgens gaan informeren dat er een lek was en ze geadviseerd het lek te melden bij de Autoriteit Persoonsgegevens.” In het weekend werd duidelijk dat het AD en ook RTL van plan waren te publiceren. “Daar zijn we behoorlijk van geschrokken. Volgens ons gaan deze publicaties alle proporties te buiten. We hebben na de melding het lek gelijk gedicht en zover wij weten zijn er geen ongelukken gebeurd met de data.”

Tegen het AD zegt Wouter Verkerk, directeur van het Verzekeringsbureau Voertuigcriminaliteit, dat hij onthutst is. “Met zulke datalekken maak je het voor boeven makkelijk shoppen.”

Volgens Fabrie is dit reden om meer te investeren in cybersecurity. “Wij gaan zelf ook hackers inhuren om onze systemen te testen, want het schrijven van software blijft mensenwerk waarbij fouten worden gemaakt. Dat is nu wel gebleken.” 

Meer beveiliging nodig

Dave Maasland, directeur Eset Nederland, stelt dat meer beveiliging hard nodig is. “De lekken zijn gedicht en de gegevens van hun klanten zijn weer veilig. De berijders en de leasemaatschappijen zijn feitelijk slachtoffer van kwetsbaarheden in de gebruikte en aangekochte software. Toch is het de verantwoordelijkheid van een leasemaatschappij om klanten een veilig portaal aan te bieden. Ze kunnen deze niet bij derden neerleggen, bijvoorbeeld leveranciers van softwarepakketten. Nu ging het om leasemaatschappijen, een volgende keer is het een andere branche. Om lekken te voorkomen is het belangrijk om de informatiebeveiliging in de hele keten te bekijken en niet alleen naar het eigen netwerk en omgeving. We zijn namelijk allemaal verbonden. Een optimale, up-to-date beveiliging blijft daarom van groot belang. Ook een periodieke securitytest is nodig en bedrijven moeten hun softwareleverancier structureel hier naar vragen.”

Nuance

Norbert Karthaus, directeur van Hiltermann Lease groep en met ingang van komend jaar voorzitter van Autolease Inkoop Combinatie, snapt de ophef. “Natuurlijk is het heel vervelend. En we moeten dit met zijn allen zeer serieus nemen. Wij hebben vanochtend al melding gemaakt van het mogelijke lek bij de Autoriteit Persoonsgegevens. En we zijn nu samen met Carwise aan het uitzoeken of er klanten van ons geraakt zijn, maar een klein deel van onze klanten gebruikte I-Wise.” Toch wil hij een nuance aanbrengen. “Zover we weten liggen er geen gegevens op straat of zijn deze in handen gekomen van derden. Twee maanden geleden hebben ons laten hacken en de hackers konden toen geen beveiligingslek vinden. Eset had een inlog en is eenmaal binnen gaan zoeken.” Karthaus vindt de aanpak van Eset niet netjes. “Dat ze dit doen, snap ik wel. En ook dat ze aanbieden om te helpen het lek te dichten. Maar Carwise heeft het het lek direct gedicht en zijn relaties op de hoogte gebracht. Dat Eset dan toch zo de media opzoekt verdient geen schoonheidsprijs. Maar goed, het leert ons allemaal dat we heel goed moeten opletten waar onze data staat en hoe we die kunnen beschermen.”

Geplaatst in rubriek:
Bart Kuijpers
Bart Kuijpers

Bart Kuijpers (’80) werkt sinds 2008 bij Automotive. Hij is als redacteur verantwoordelijk voor de portefeuilles Merkkanaal en Occasions. Bart houdt van voetbal en van Radiohead. Hij rijdt sinds februari '23 een Tesla en is daar erg tevreden (relatief betaalbaar en fantastische software) mee, maar hij is verder geen fan van het merk.

Reacties

  • Stephan van Rooij

    Ik vind het redelijk laf om zo te reageren.
    De ontwikkelaars van dit product moeten nodig op cursus gestuurd worden.

    – laten we zelf een sessie manager maken, wij kunnen dat beter dan de ontwikkelaars van ASP.NET zelf.
    – de SQL-query als parameter (dat er niet eens sql injection nodig is)
    – alle klanten in een losse database (best goed!), maar dan hetzelfde database account gebruiken?

    Als de programmeurs zulke basale fouten maken, dan is het nog maar de vraag of er geen gegevens zijn gedownload. Ik vraag me persoonlijk af of de logging dan wel op orde is? Maar jullie zijn er blijkbaar van overtuigd dat er geen gegevens zijn gedownload….