Deel dit artikel
-

Beveiligingexpert waarschuwt voor datalek bij betaaldienst Mollie

Een onderzoeker van TUNIX Digitale Security claimt dat hij een enorm datalek bij de Nederlandse betaaldienst Mollie ontdekt heeft.

Door een beveiligingsfout bij de export van transacties van een bedrijf, werden niet alleen de transacties van de desbetreffende klant, maar de transacties van alle klanten getoond. Informatie over bestellingen, overboekingen, naw-gegevens en rekeningnummers ‘liggen op straat’.

TUNIX zegt contact te hebben opgenomen met Mollie, maar daar bleek men niet in staat om aan te geven wie bij Mollie de functie van Privacy Officer of Security Officer vervult en kon ook niet met deze functionaris doorverbinden. Daarom heeft beveiligingsexpert Ronald Pikkert het lek zelf maar naar buiten gebracht.

TUNIX onderzoekt en bewaakt 7×24 uur de beveiliging van haar klanten, ‘maar het is uitzonderlijk dat we een dergelijke wagenwijd openstaande deur tegenkomen’.

Mollie heeft het datalek inmiddels ook erkend, maar het zou gaan om enkele tientallen klanten (webwinkeliers) die een boekhoudbestand hebben gedownload met daarin betaalgegevens van zowel de klant zelf als enkele andere klanten van Mollie. ‘Terstond nadat deze fout bekend werd bij Mollie, is het proces gecorrigeerd.’

Deel dit bericht

5 Reacties

Hedwig Wassing

Heeft Ronald Pikkert niet even doorgevraagd of hij dan de directeur mocht spreken?

Rodger

Hedwig waarom de schuld bij Ronald neerleggen, Mollie had hier toch doortastender op moeten treden? Waar ligt de oorzaak van het lek, bij Ronald of bij Mollie?

Ruben - Start

Niet de eerste keer dat bij Mollie dergelijke problemen voorkomen.

Het systeem is daar zo lek als een mandje.

En dat ze dan geen security officer hebben, maakt het helemaal lachwekkend.

Hedwig Wassing

Rodger, Gaat niet om schuld, maar zorgvuldigheid.

Adriaan - Mollie

Los van het feit dat het gewoon niet waar is wat deze “expert” publiceert hebben we daarnaast wel een dedicated security officer, daarnaast ook nog een compliance officer of een CTO of bestuur waaraan hij dit had kunnen melden. Even op Google of LinkedIn kijken was genoeg.

Ik wil absoluut niet bagatelliseren, we nemen ons vak en de veiligheid zeer serieus. Helaas kan ik deze beste man zelf echt niet serieus nemen. Zijn eigen website verloopt niet via HTTPS (SSL) en ook het contactformulier op zijn website niet. Heel verstandig lijkt mij dat niet waar mogelijke partijen eventuele dreigementen of kwetsbaarheden delen wanneer kwaadaardige zitten mee te luisteren. Denk ook wel persbericht waardig, niet? ?

PS: redactie Emerce had beter kunnen weten?

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond