De usb+ sticks met 16GB opslag en gratis cloudservice zouden zo lek als een mandje zijn.
De sticks installeerden zelf software die vol met fouten zat en zwaar verouderd was. Sommige virusscanners registreerden deze dan ook als malware. De fouten zijn ontdekt door hackerscollectief Revspace. Die zeggen er dit over:
“Bijna elke beveiligingsfout die je kan maken, zat er in. Het was een soort bingo met volle kaart”
De cloudopslag was slecht beveiligd, waardoor het mogelijk was zonder al te veel moeite bestanden van andere gebruikers te downloaden. Dankzij een configuratiefout van de webserver kon het wachtwoord van de beheerder worden achterhaald, waardoor alle klantgegevens toegankelijk werden. De persoonsgegevens van klanten bleken te worden verstuurd naar een e-mailaccount van Apple, terwijl dit bedrijf niets met de clouddienst of de ontwikkelaars van de software te maken heeft. Met het beheerderswachtwoord werden verschillende beheerstaken toegankelijk: de hackers konden bijvoorbeeld zelf nieuwe beheerders toevoegen.
In een reactie stelt een woordvoerder van Hema het ‘vervelend’ te vinden:
“We vinden het natuurlijk bijzonder vervelend als een product niet voldoet aan de eisen die wij als Hema daaraan stellen. Zeker in dit geval waar het kan gaan om persoonlijke informatie van klanten. Wij hebben dan ook onmiddellijk het product uit onze winkels gehaald. Daarnaast zijn wij in contact getreden met de leverancier en met een onafhankelijk adviesbureau om er zorg voor te dragen dat dit product wel voldoet aan de eisen die wij en onze klanten hieraan mogen stellen.”
Nu.nl was afgelopen juli van de kwetsbaarheden op de hoogte en heeft deze gemeld bij Hema. De site zegt het verhaal nu pas te brengen om de kans op misbruik zo klein mogelijk te houden en de leverancier de kans te geven verbeteringen door te voeren. In het nieuwsbericht meldt de site ook meteen dat dit slechts deels gelukt is. Het product is uit de winkel gehaald, maar de leverancier heeft nog steeds niet de benodigde aanpassingen gedaan. Zo is het nog steeds mogelijk op de clouddienst in te loggen als beheerder.
De resultaten van het onderzoek kun je lezen op een pagina van Revspace.
