‘Leaseleaks’ legt vooral belang dataveiligheid op straat
Dat meldt Automotive Management.
Grote hacks en datalekken worden steeds gangbaarder. Afgezien van een sporadisch nieuwsbericht dat deze of gene auto makkelijk te hacken zou zijn (zoals de Outlander of de Leaf) blijven de auto- en leasebranche redelijk buiten schot: vooralsnog zijn het vooral de fabrikanten zelf die rommelen met code. Nieuws van een groot datalek bij tientallen leasemaatschappijen met 100 duizend gebruikers sloeg dan ook in als een bom.
Eset heeft het lek op 2 augustus gemeld aan Carwise, dat het onmiddellijk heeft gedicht. Daarna heeft Eset toch de publiciteit gezocht. “Daar zijn we behoorlijk van geschrokken”, zegt Carwise-directeur Rene Fabrie tegen Automotive. “Volgens ons gaan deze publicaties alle proporties te buiten. We hebben na de melding het lek gelijk gedicht en zover wij weten zijn er geen ongelukken gebeurd met de data.”
Volgnummer
Eset had toegang tot het portaal van de leasemaatschappij waar directeur Dave Maasland een auto leaset. Dat portaal draaide op I-Wise-software, evenals de portalen van 53 andere leasemaatschappijen.
Uit het geanonimiseerde verslag van het lek dat Eset aanvankelijk publiceerde, blijkt dat het aanpassen van een volgnummer in de adresbalk van de browser genoeg was om de gegevens van alle andere berijders van de leasemaatschappij van Eset in te zien. Enig graafwerk bracht vervolgens aan het licht dat de databases van andere leasemaatschappijen die met I-Wise werken eveneens eenvoudig te benaderen zijn. Eset meldde dat het de gegevens van Maasland kon vinden die hij bij zijn vorige leasemaatschappij had achtergelaten.
Kernraketten
Martin Lans van de Vereniging van Nederlandse Fleetowners (VNF) reageert laconiek tegenover Fleet&Mobility. “Het is natuurlijk heel vervelend dat dit gebeurt, maar het is onderdeel van het leven. Gelukkig gaat het om leaserijders en niet om het afschieten van kernraketten.” Volgens Lans opereert Carwise in een ander segment dan de leden van de VNF. De grote leasemaatschappijen waar VNF-leden veelal zaken mee doen hebben hun zaakjes beter op orde. “Grote leasemaatschappijen hebben eigen systemen. Een Athlon of een Alphabet maken onderdeel uit van wereldwijde concerns (Daimler en BMW, red.). Zij opereren in glazen kooien.” Toch kan het volgens Lans iedereen gebeuren. Hij wijst erop dat Eset beschikte over een wachtwoord voor een I-Wise-portaal. “Helemaal blanco op een server binnendringen is toch wat anders.” Wel denkt Lans dat deze actie uiteindelijk de aandacht voor dataveiligheid zal doen toenemen. “Steeds meer bedrijven huren nerds in om hun eigen systemen te testen. 100 procent veilig is het doel, maar dat zullen we nooit bereiken.”
Schoonheidsprijs
Tegen Automotive zei Norbert Karthaus, directeur van Hiltermann Lease groep en met ingang van komend jaar voorzitter van Autolease Inkoop Combinatie: “Zover we weten liggen er geen gegevens op straat of zijn deze in handen gekomen van derden. Twee maanden geleden hebben ons laten hacken en de hackers konden toen geen beveiligingslek vinden. Eset had een inlog en is eenmaal binnen gaan zoeken.” Dat Eset de media opzoekt nadat Carwise het lek had gedicht, verdient niet de schoonheidsprijs, aldus Karthaus. “Maar goed, het leert ons allemaal dat we heel goed moeten opletten waar onze data staat en hoe we die kunnen beschermen.”
Verantwoordelijkheid
Ook Eset zelf zegt dat het vooral de aandacht voor dataveiligheid in het algemeen wil vergroten. “Het is niet de bedoeling geweest om specifiek de leasebranche een les te willen leren”, zegt Maasland tegen Automotive. “Nu ging het om leasemaatschappijen, een volgende keer is het een andere branche. De berijders en de leasemaatschappijen zijn feitelijk slachtoffer van kwetsbaarheden in de gebruikte en aangekochte software. Toch is het de verantwoordelijkheid van een leasemaatschappij om klanten een veilig portaal aan te bieden. Ze kunnen deze niet bij derden neerleggen, bijvoorbeeld leveranciers van softwarepakketten.”
