Cybercriminelen hebben 157.000 e-mailadressen en ‘gecodeerde wachtwoorden’ van het klantenbestand van webwinkel Mapp.nl gestolen. De aanval op de database vond plaats via SQL Injection. De webwinkel heeft zijn klanten gewaarschuwd. Dit heeft een woordvoerder laten weten.
Mapp.nl begon in 2001 als interngeheugen.com. Onder het bedrijf vallen webshops als geheugen.nl, memoryman.nl, harddisk.nl, radiosjaak.nl en dashcamstore.nl. De inbraak werd ontdekt na meldingen van klanten; zij hadden last van spam op e-mailadressen die ze alleen bij Mapp.nl gebruikten.
SQL Injection
Uit nader onderzoek bleek dat via SQL Injection de klantendatabase was gestolen. SQL Injection is een beveiligingsprobleem. De woordvoerder van Mapp.nl gaf aan dat de veiligheid van de webwinkel niet door externe partijen was getest. De wachtwoorden werden gehasht opgeslagen met het standaard hashingalgoritme van de webapplicatie.
Salting
Het risico dat aanvallers de gestolen gehashte wachtwoorden weten te achterhalen, werd vergroot omdat er geen salt werd toegepast. Mapp.nl heeft van alle klanten het wachtwoord gereset. Ook zijn de klanten in een e-mail gewaarschuwd voor de datadiefstal. Klanten krijgen het advies om het oude wachtwoord te wijzigen als ze dit ook voor andere websites gebruiken. Mapp.nl is inmiddels overgestapt op het SHA-2-hashingalgoritme en past salting toe, aldus de woordvoerder van het bedrijf.