Allekabels meldt aan klanten dat wachtwoorden van accounts die voor 1 september 2018 zijn aangemaakt, gekraakt kunnen worden. De webshop heeft die wachtwoorden gewist. Om hoeveel van de 2,6 miljoen gelekte accounts het gaat, is niet bekend.
Operations Director Constantijn Souren schrijft naar klanten dat het bedrijf op 23 augustus 2020 gehackt is door cybercriminelen en dat daarbij versleutelde wachtwoorden zijn gestolen. Allekabels claimt in de mail dat 'een minderheid' van alle wachtwoorden te ontsleutelen is. Allekabels geeft in de mail verder geen informatie over de gebruikte versleuteling of waarom het wachtwoorden voor 1 september 2018 niet beter zou hebben versleuteld. De webshop zegt inmiddels melding te hebben gemaakt bij de Autoriteit Persoonsgegevens. Daarnaast heeft Allekabels de wachtwoorden die voor september 2018 zijn aangemaakt, inmiddels verwijderd. De desbetreffende klanten zijn daarvan op de hoogte gesteld.
Uit onderzoek van RTL Nieuws bleek donderdag dat bij die hack 2,6 miljoen unieke e-mailadressen zijn gestolen met onder meer versleutelde wachtwoorden. Volgens journalist Daniël Verlaan zijn de wachtwoorden gehasht met MD5 en voorzien van een salt, of met Bcrypt. De salt die gebruikt is voor het versleutelen van de MD5-wachtwoorden, is ook gestolen, waarmee die wachtwoorden eenvoudig zijn te kraken.
In een faq geeft Allekabels aanvullende informatie over het datalek. Zo zijn klantnaam, eventuele bedrijfsnamen en adresgegevens bij de aanval buitgemaakt. Van klanten die gebruik hebben gemaakt van achteraf betalen, zijn ook geboortedatum en telefoonnummer uitgelekt. Daarnaast is van de honderdduizend klanten die op het moment van de aanval het recentst een order hebben geplaatst, ook het IBAN-nummer uitgelekt. De webshop claimt verder 'tegenwoordig' privacygevoelige klantgegevens in een 'datakluissysteem' te plaatsen, waar data alleen kan worden opgeslagen of gewijzigd. Medewerkers en criminelen zouden deze data niet kunnen inzien, claimt het bedrijf.
Donderdag werd bekend dat er bij het datalek gegevens van 3,6 miljoen mensen zijn buitgemaakt. Een miljoen daarvan komt van klanten die via platforms als bol.com en Amazon een bestelling bij Allekabels hebben geplaatst. De resterende 2,6 miljoen klantgegevens zijn van mensen die direct bij de webshop iets hebben besteld. Alleen van deze laatste groep zijn de e-mailadressen en wachtwoorden buitgemaakt. De webshop zelf claimde in februari dat de gegevens van maar vijfduizend klanten waren gestolen.
Bron: Tweakers.net