Nederlandse malware hunter ontdekt vlak voor verkiezingen in Beieren datalek in Magento webshop regeringspartij CSU

De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.

De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.

De CSU-webshop is momenteel niet meer bereikbaar.

Politiek gemotiveerde hack?

Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.

Politieke voorkeur valt onder hogere risicoklasse in AVG

De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.

 

De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.

In dat geval is er duidelijk sprake van nalatigheid bij de CSU.

Webshop CSU is gebouwd met Magento software

De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.

Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.

 

De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.

Hackers wisten dat ze alleen contactgegevens konden buitmaken

Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.

De hackers konden op deze manier alleen namen en postadressen onderscheppen.

De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.

Wereldwijd 40.000 Magento shops geinfecteerd met Magecart

“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”

Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.

Meer actueel awareness nieuws

Hoe maak je Privacy by Design concreet? En hoe pas je het in de praktijk toe? (gratis Blauw Boekje)

Privacy by Design en Privacy by Default. Twee termen die ondernemers sinds de invoering van de Algemene Verordening Gegevensbescherming  (AVG) geacht worden te kennen.

Weet jij wat Privacy by Design betekent?

‘Privacy by design’ houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG.

Zo staat het tenminste in de privacywet. Maar de beschrijving is zo vaag dat veel mensen nog steeds niet weten wat ze met Privacy by Design aan moeten.

Privacydeskundigen leggen Privacy by Design als volgt uit:

Privacy by Design betekent dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat alleen die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Tsja… Begrijp je het nu?

“Helaas is deze wetgeving complex en vaag”, schrijft Jaap-Henk Hoekman in het voorwoord van het gratis boek Privacyontwerpstrategien (Het Blauwe Boekje).

Hoekman is privacy expert, verbonden aan de vakgroep informatica van de Radboud Universiteit en de rechtenfaculteit van de Rijksuniversiteit Groningen. Hij is ook verbonden aan het Tilburg Institute of Law, Technology, and Society (TILT). Hij is principal scientist van het Privacy & Identity Lab.

Blauwe Boekje is voor bedrijfsleven en overheidsorganisaties interessant

Het Blauwe Boekje is gericht op alle organisaties (bedrijfsleven of overheid) die persoonsgegevens verwerken. Het Blauwe Boekje is met name bedoeld voor ontwerpers en bouwers van systemen die persoonsgegevens verwerken, en de mensen die voor die systemen verantwoordelijk zijn.

“De AVG biedt weinig concrete handvatten voor ontwerpers en systeembouwers”, schrijft Hoekman. “Dat is een probleem als je een systeem privacy vriendelijk wilt ontwerpen. Bijvoorbeeld door de privacy by design ontwerpfilosofie toe te passen, die vereist dat privacy- bescherming vanaf het begin af aan meegenomen wordt bij het ontwerpen en bouwen van nieuwe systemen.”

“Privacy wordt daarmee, net als beveiliging, een softwarekwaliteitsattribuut. Privacy by design is sinds 2018 wettelijk verplicht. Maar je kunt het ook gebruiken om verder te gaan dan de minimale bescherming die de wet vereist, bijvoorbeeld door te innoveren op basis van privacy.”

Hoe maak je privacy by design concreet? En hoe pas je het in de praktijk toe? Daar geeft Het Blauwe Boekje antwoord op.

Het boek beschrijft acht privacyontwerpstrategieën. Iedere strategie wordt kort uitgelegd en geïllustreerd aan de hand van praktische voor- beelden.

Daarnaast worden een aantal concrete technieken genoemd waarmee de strategie in de praktijk geïmplementeerd kan worden.

In het twee na laatste hoofdstuk wordt ingegaan op de vraag hoe je de privacyontwerpstrategieën in de praktijk toepast, en hoe ze ingepast kunnen worden in bestaande ontwikkelmethodes.

Waarom heet dit “Het Kleine Blauwe Boekje”? “Omdat blauw de kleur van vertrouwen is“, schrijft Hoekman.

Het Blauwe Boekje gratis downloaden

Je kunt Het Blauwe Boekje gratis downloaden via de site De Privacycoach van Jaap-Henk Hoekman.

Meer actueel awareness nieuws