De Britse webwinkel Construction Materials Online (CMO) is beboet voor een bedrag van 65.000 euro. De website waarop online bouwmaterialen worden verkocht, had gegevens van klanten onvoldoende beveiligd. Drie jaar geleden werden er klantgegevens gestolen.
De website zou niet goed genoeg zijn beschermd tegen SQL-injecties. Via deze kwetsbaarheid kunnen kwaadwillenden met de database van een website communiceren. Op deze wijze kan de inhoud van een database worden buitgemaakt.
Gegevens van creditcardhouders
Aanvallers slaagden erin om via een SQL-injectie niet-geëncrypte gegevens van creditcardhouders buit te maken. Tevens stalen ze namen, adresgegevens, rekeningnummers en beveiligingscodes. Tijdens een onderzoek van de Britse databeschermingsautoriteit ICO bleek dat CMO de website niet regelmatig op veiligheid testte, waardoor het bedrijf niet op de hoogte was van de kwetsbaarheid. Ook zouden de wachtwoorden die de webwinkel hanteerde niet bestand zijn tegen een brute force-aanval.
Waarschuwing voor andere mkb-bedrijven
“Het zijn niet alleen grote, bekende bedrijven die met cybersecurity rekening moeten houden. Cybersecurity moet voor alle bedrijven een topprioriteit zijn, ongeacht hun omvang,” stelt Steve Eckersley, hoofd handhaving van de ICO. “Deze boete is een waarschuwing voor andere mkb-bedrijven dat de veiligheid van de persoonlijke informatie van hun klanten op de eerste plek moet komen.”