Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Een aanvaller is erin geslaagd om door middel van SQL-injection de privégegevens van klanten van ShitExpress te stelen, een website die tegen betaling een doosje dierenpoep naar een opgegeven adres bezorgt. Het gaat om e-mailadressen, een persoonlijk bericht van de afzender en andere bestelgegevens. Het zou bij elkaar om data van 29.000 bestellingen gaan.

De klantendatabase was door middel van SQL-injection te downloaden. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.

In een verklaring tegenover Bleeping Computer erkent de website dat een script kwetsbaar was voor SQL-injection. "Het is onze schuld, een menselijke fout die iedereen kan overkomen." Het probleem werd door een klant van de website gevonden en is inmiddels verholpen. De gelekte gegevens worden nu op internet aangeboden, maar bevatten geen betaalgegevens. Betalingen voor de website worden via een externe betaalverwerker verwerkt.

 

bron: https://www.security.nl

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.