In usb-sticks van Hema met 1GB aan gratis cloudopslag zit een ernstige tekortkoming. Hierdoor was het mogelijk om bestanden van andere cloudgebruikers binnen te halen. Bovendien kunnen er privégegevens van gebruikers, zoals e-mailadres, naam, adresgegevens, telefoonnummer, wachtwoord en bestandsnamen in handen van onbevoegden terecht zijn gekomen.
Hackers van de Haagse hackerspace Revspace hebben dit bekendgemaakt. Het gaat om de HEMA USB+ stick 8GB en 16GB. Deze sticks worden op dit moment niet meer verkocht door de HEMA.
SQL-injecties
De software op de usb-sticks bleek zonder versleuteling contact te leggen met de server. De programmatuur voor de database op de server was bovendien van slechte kwaliteit. Verder bleek deze programmatuur onder meer ontvankelijk voor SQL-injecties die de database kunnen uitlezen.
Public read
Iedereen die het gebruikers-ID en de bestandsnaam wist, kon de bestanden van deze gebruiker in de cloud benaderen. De toegangscontrole stond op ‘public-read’ toen de bestanden in de cloud werden geplaatst. De hackers zeggen hierover: “Dat downloaden is kinderspel voor iedereen die weet hoe de HTTP-adressen zijn samengesteld”. Een groot deel van de broncode van de server-side software bevond zich bovendien online. Deze code bevatte een belangrijk wachtwoord waardoor alle bestanden in de Amazon S3 bucket toegankelijk waren.