Carpetright waarschuwt dat gehashte wachtwoorden mogelijk zijn gestolen – Computer – Nieuws

Carpetright waarschuwt klanten voor een mogelijk datalek. Het bedrijf heeft een incident meegemaakt waarbij gehashte wachtwoorden mogelijk zijn gestolen. De appartementverkoper heeft uit voorzorg alle wachtwoorden gereset.

Verschillende gebruikers hebben een bericht ontvangen van Carpetright. Het bedrijf ontdekte op 19 februari een datalek. Carpetright zegt niet wat de aard van het datalek is. “Onze analyse bevestigt dat gehashte versies van de wachtwoorden van gebruikers ook deel uitmaakten van het datalek”, schreef Carpetright. “U ontvangt deze e-mail omdat de gehashte versie van het wachtwoord dat u op ons systeem heeft aangemaakt, bij de inbreuk is betrokken.”

Het bedrijf laat in reactie aan Tweakers weten niet zeker te zijn of de gegevens daadwerkelijk zijn gestolen. “We hebben beveiligingsbedrijf NFIR ingehuurd voor forensisch onderzoek. Zij onderzoeken de logs om te zien of de gegevens daadwerkelijk zijn gedownload.” Een woordvoerder van Carpetright zegt dat het bedrijf uit voorzorg heeft gehandeld en klanten daarom heeft geïnformeerd.

Carpetright zegt op 19 februari te hebben ontdekt dat de back-end van de website was geïnfecteerd met malware. Het is niet bekend om welke malware het gaat. Carpetright zegt dat het in ieder geval geen ransomware is. De namen, adressen, telefoonnummers en e-mailadressen van klanten zijn mogelijk gestolen tijdens de diefstal. Bovendien hadden de dieven mogelijk toegang tot wachtwoorden; volgens Carpetright werden deze in dezelfde database opgeslagen. De wachtwoorden waren gehasht met SHA-256 en bevatten zout, zei Carpetright. De betalingsgegevens stonden in ieder geval niet in de database.

Tijdens de diefstal waren mogelijk de gegevens van alle 30.000 Carpetright-accounthouders zichtbaar. Hieronder vielen ook Belgische gebruikers. Daarom meldde het bedrijf een datalek niet alleen bij de Autoriteit Persoonsgegevens, maar ook bij de Belgische Gegevensbeschermingsautoriteit.