‘Mediamarkt en Phone House slordig met beveiliging klantengegevens’

Foto ANP

Knullige wachtwoorden als 12345678 en welkom01. Wachtwoorden gekrabbeld op plakbriefjes aan het beeldscherm. Wachtwoorden verzameld in één Excel-document. Computers die open en bloot onbeheerd worden achtergelaten.

Elektronicaketen Media Markt en telefoonverkoper Phone House begingen ongeveer elke beginnersfout op het gebied van computerbeveiliging. En dit waren de „maatregelen” die ze namen om hun klantensystemen te beschermen, is de conclusie van de Utrechtse ‘ethische hacker’ Sijmen Ruwhof. Ruwhof beschrijft de zwakheden in het systeem in een uitgebreide blogpost die hij gisteren publiceerde. In oktober verlengde hij zijn telefoonabonnement bij Media Markt. De elektronicawinkel is wederverkoper van Phone House. Ruwhof kreeg via de computer in de Media Markt makkelijk toegang tot de zogeheten dealerportals, waar gegevens van nieuwe klanten worden bewaard.

Hij kon meekijken over de schouder van een werknemer en zag een bestand waarin alle wachtwoorden verzameld stonden – zwakke wachtwoorden die ook nog eens onversleuteld bewaard werden. Ruwhof waarschuwde de winkelketens en inmiddels heeft zowel Media Markt als Phone House zijn beveiliging verbeterd. 

Gaat om gegevens van 12 miljoen Nederlanders

Wat stond er precies op het spel? De dealerportals geven toegang tot aansluitsystemen van alle telecomproviders. Volgens Ruwhof zouden persoonsgegevens van meer dan 12 miljoen Nederlandse bellers onveilig bewaard worden; dat aantal noemen Phone House en telecombedrijven overdreven.

In de aansluitsystemen staan naw-gegevens (naam, adres, woonplaats), geboortedatum en telefoonnummer van klanten. Belgegevens of bankrekeningnummers worden er niet in bijgehouden, zegt Phone House. In sommige gevallen kan er wel een kopie van rijbewijs of paspoort in de database staan. Een woordvoerder van T-Mobile: „Dat geldt alleen voor klanten bij wie de contractaanvraag nog niet geheel is afgerond.” Het zou volgens hem gaan om 15 klanten „en we kunnen zien dat hun gegevens niet zijn benaderd door onbevoegden.”

'Er zijn geen gegevens gelekt'

Al was de beveiliging van de klantensystemen zwak, er is geen sprake van een hack of een lek waardoor gegevens op straat kwamen te liggen. Volgens een woordvoerder van Phone House zijn geen gegevens gelekt. „Je krijgt alleen toegang tot data als je specifiek op zoek gaat naar een klant en daarvoor moet je minstens twee andere gegevens invoeren. Bijvoorbeeld geboortedatum en een naam.”

Ruwhof stelde een lijst van twintig kritiekpunten op. Eén daarvan: klanten kunnen in de winkel heel makkelijk meekijken.

Phone House zegt dat er inmiddels veel verbeteringen zijn doorgevoerd naar aanleiding van „een prettig gesprek.”