Datalek Albert Heijn: 10.000 inloggegevens gelekt

Datalekken zijn aan de orde van de dag. De zorg ligt wat betreft de AP dan ook in het voldoen aan de meldplicht, zowel naar de toezichthouder zelf als ook betrokkenen.

Dagelijks lijkt een datalek het nieuws te halen. Niet vreemd, met in 18.000 gemelde datalekken bij de Europese toezichthouder, sinds mei 2018. 

Het kan de beste overkomen, bewijzen de slachtoffers: gemeente, medisch centrum of vliegmaatschappij, van 22 betrokkenen, tot ruim 9 miljoen. Wanneer het veel data, gevoelige data of het bekende organisatie betreft, zijn de datalekken sneller terug te vinden op meer reguliere media-kanalen als NOS, Emerce of Nu.nl.

Wat is Albert Heijn overkomen?

Daar kwam vrijdag 6 november een nieuw datalek bij via de Albert Heijn. Inloggegevens dienen normaliter onder water verstuurd te worden, maar in deze kwestie zijn inloggegevens via de url verstuurd. Hierdoor waren de inloggegevens bij het inloggen fysiek onderdeel van de url. 

Deze url's worden op allerlei plekken opgeslagen, meest voor de hand liggende is uiteraard de browse(r) geschiedenis. Dit klinkt onschuldig, totdat een AH accounthouder een openbare computer gebruikt om zijn boodschappen vanaf werk of school te bestellen. Afhankelijk van eventuele technische maatregelen binnen zo'n organisatie, zijn de bezochte webpagina's (en daarmee ook inloggegevens) door een volgende gebruiker in te zien.

Third party ontvangers
Op grotere schaal wordt het bijgehouden middels de server rapportages van deze GET-verzoeken (de logs), als ook eventuele third party koppelen, de service providers zoals Albert Heijn ze noemt. Welke dit zijn, wordt niet toegelicht. Albert Heijn zegt hierover:

.. zijn ook de online service providers ingelicht. Zij werken bijvoorbeeld samen met AH aan het verbeteren van de websites

Gedacht kan worden aan CDN oplossingen voor het inladen van externe bronnen (beeldmateriaal, styling), koppelingen om gebruik in kaart te brengen (zoals Hotjar of Ruxit) of bijvoorbeeld een (Google) Analytics toepassing. Ineens heeft ook je marketeer toegang tot persoonsgegevens.

Albert Heijn meldt datalek binnen wettelijk termijn

Gegevens zijn bij dit incident niet actief buit gemaakt door iemand met een specifiek doel, maar valt binnen de AVG wetgeving desondanks onder de noemer datalek.

Dat supermarktketen Albert Heijn netjes gehandeld heeft, mag geconcludeerd worden uit de berichtgevingen. Waar een klant van Albert Heijn de supermarkt heeft geïnformeerd, heeft Albert Heijn dit direct als datalek bestempeld. Alhoewel door de aard van de datalek gesteld zou kunnen worden dat de kans klein is dat er gevolgen zijn voor de 10.000 betrokkenen (accounthouders van een AH profiel), heeft Albert Heijn wellicht het volgende meegenomen in het besluit om de datalek te melden (zie AP website voor verwijzing naar guidelines meldplicht datalekken):

  • Omvang van de datalek (inloggegevens van 10.000 klanten);
  • Eventueel ongeautoriseerde instantie (serverprovider, zoals Albert Heijn ze noemt) heeft inzage gehad in gevoelige gegevens;
  • In de wetenschap dat men dezelfde inloggegevens (waaronder wachtwoord) gebruiken voor uiteenlopende diensten, kan dit datalek gevolgen en negatieve effecten voor betrokkenen.

De eigen naamsbekendheid kan ook een rol spelen. Immers wil je als bedrijf transparant zijn in gevoelige incidenten als ook eventuele mogelijkheden voor chantage door derden wegnemen.

Actiepunten Albert Heijn

Albert Heijn heeft de datalek binnen de AVG wettelijke 72 uur gemeld bij de Autoriteit Persoonsgegevens. Aanvullend hebben ze er terecht voor gekozen betrokkenen te informeren als ook huidige inloggegevens te blokkeren. Organisaties waar klantdata naartoe is gelekt (verwerker), is door Albert Heijn gevraagd deze data (inloggegevens van gebruikers) te verwijderen. In hoeverre de service providers aan dit verzoek hebben voldaan, wordt niet gemeld.

Technische achtergrond AH datalek

Formulier c.q. inloggegevens gegevens zijn op verschillende manieren te versturen: als het ware boven water (GET) en onder water (POST), zoals men ook op Tweakers.net weet toe te lichten. Data dat boven water -via GET- verstuurd wordt, komt in de url terecht en is fysiek onderdeel van deze url. 

Dat er hier een eenvoudig te voorkomen fout is gemaakt, durven we ons bij aan te sluiten. Inlog-data zouden bij verwerking, nooit uit de GET omgeving gehaald moeten worden. Wanneer hier aan voldaan zou worden, zou elk browserverzoek met inloggegevens via de GET methode, niet als inlogpoging worden verwerkt. Omdat het inloggen dan immers niet meer zou functioneren, zou deze bug direct geconstateerd worden en zou dit scenario nooit op een productie omgeving terecht komen. 

De mogelijke oorzaken die ten grondslag kunnen hebben gelegen aan de datalek:

  • In PHP equivalent heeft men gebruik gemaakt van de REQUEST variabele/omgeving, die alle data boven (GET) en onder (POST) water samenvoegt. Hierdoor is bovenstaand wellicht niet aan het licht gekomen;
  • Er is sprake geweest van kennisgebrek aan beginselen van user input en verschil tussen POST en GET, waar ook een tester of lead developer geen vraagtekens bij heeft gezet.

Gevolgen voor Albert Heijn

Albert Heijn heeft als verwerkings­verantwoordelijke netjes en naar de letter van de wet gehandeld bij de omgang van de datalek. Het vraagstuk of en in hoeverre er onder de AVG sancties of boetes volgen, ligt in handen van de Autoriteit Persoonsgegevens. De privacy toezichthouder zou bijvoorbeeld kunnen besluiten dat de technische maatregelen op het moment van de datalek, onvoldoende was.