Blijf wekelijks op de hoogte van het steeds veranderende security landschap

Leaseleaks: de kwetsbaarheid van leaseportalen

-

Met al het bijna Hollywood-achtige cybergeweld dat zich de laatste tijd afspeelt, is het soms makkelijk om te vergeten dat wij als ESET Nederland ook maar één van de duizenden bedrijven zijn die het bedrijfsleven van Nederland vormen. En net als al deze andere bedrijven hebben ook wij hele simpele zakelijke behoeftes. Eén van deze behoeftes is dat ook onze medewerkers de beschikking krijgen over een leaseauto.

De connectie tussen de leasewereld en cyberwereld

Als je denkt aan de wereld van het zakelijk autoleasen is het lastig om direct een overlap te vinden met het vakgebied waar wij ons in bevinden. Het gaat immers om hele andere, tastbaardere zaken. Auto’s. Toch is het mogelijk om één aspect van de leasewereld te verbinden met de cyberwereld: portalen. De meeste leasemaatschappijen bieden klanten een portaal waar een klant kan inloggen, zijn wagenpark kan beheren, etc. Het toeval wil dat wij als organisatie zelf momenteel bezig zijn met ons wagenpark, en krijg ik dus van onze HR manager vaak portalen doorgestuurd voor een snelle “security check”.

Kwetsbaarheden in portalen

Wanneer we puur vanuit een technisch aspect naar deze portalen kijken, zijn het in de basis webapplicaties, en webapplicaties kunnen kwetsbaarheden bevatten. Omdat wij in deze portalen gevoelige gegevens van onze medewerkers opslaan (denk aan privégegevens als adressen, telefoonnummers, etc.) vinden wij het belangrijk dat de desbetreffende portalen een adequate bescherming bieden voor deze gegevens. Om die reden laten wij ons security team altijd wat snelle, non-intrusive checks doen op een portaal om in ieder geval de meest basale kwetsbaarheden te controleren. De resultaten van de twee portalen die we aan deze korte checks onderworpen hebben, zijn helaas niet wat we verwachten. Zonder namen te noemen van de betrokken partijen wilden we toch delen wat we ontdekt hebben over portalen in de leasewereld. Deze informatie delen we om de algemene bewustwording te vergroten bij het gebruik van klantportalen en waar op te letten als het aankomt op informatiebeveiliging.

Wat is de zwakke schakel?

Het is niet de bedoeling geweest om specifiek de leasebranche een les te willen leren. Toch hebben we, met de recente aanvallen in het achterhoofd, besloten hier extra aandacht aan te besteden.

Wat is dan de link zou je zeggen? In dit geval, third party software. Dit is software die niet in eigen beheer is van de eigenaar van de data. Steeds vaker zien wij dat branches op grote schaal automatiseren en veel processen en klantdata verwerken via externe en interne klantportalen. Deze portalen worden nog vaak opgebouwd vanuit functioneel perspectief en gaan nog te weinig in op de bedrijfsrisico’s.

Wij willen extra benadrukken dat elk softwarepakket via kwetsbaarheden een ingang kan zijn binnen het netwerk van een bedrijf, dan wel de zwakke schakel kan zijn die een aanvaller nodig heeft om (gevoelige) gegevens te stelen. Zeker in het geval van maatwerk software voor specifieke branches komen steeds vaker ernstige kwetsbaarheden aan het licht.

Wij hopen hiermee bedrijven in Nederland wakker te schudden om extra aandacht te hebben voor de beveiliging van hun klantportalen en de risico’s die dit met zich meebrengt.

Lees hier de technische uitleg over portaal A en portaal B.

Conclusie

Het is lastig om hier een duidelijke conclusie aan te hangen. Feit is in ieder geval dat op relatief eenvoudige wijze toegang kon worden verschaft tot enorme hoeveelheden aan (privé)gegevens. Het is moeilijk speculeren wat een creatieve aanvaller met deze gegevens zou kunnen doen. Ook is het onmogelijk te zeggen of deze kwetsbaarheden wellicht al eerder zijn misbruikt.

Toch zien wij steeds vaker dat het gebruik van klantportalen risico’s met zich mee brengen die tot nu toe onderbelicht zijn. In dit geval kunnen we stellen dat alle berijders en de leasemaatschappijen slachtoffer zijn door middel van kwetsbaarheden in software die niet direct onder het eigen beheer valt. Toch is dit precies waar wetgevingen zoals de General Data Protection Regulation (in het Nederlands, de AVG) scherp in zijn. Wanneer je eigenaar bent van klantdata, dien je ook in de rest van de keten de beveiliging op orde te hebben, bij voorkeur door bijvoorbeeld eerst een penetratietest uit te laten voeren op een nieuw portaal voordat het portaal in gebruik genomen wordt.

Opvolging

We hebben contact opgenomen met de leveranciers van de betreffende portalen, en kunnen melden dat de kwetsbaarheden zoals hier genoemd inmiddels opgelost zijn.