Bij een cyberaanval op Carpetright zijn mogelijk gehashte wachtwoorden gestolen. De vloerenwinkel heeft hiervan melding gedaan bij de privacyautoriteiten in Nederland en België.
In een reactie aan Tweakers laat Carpetright weten dat het getroffen is door de cyberaanval. Hierbij kregen de cybercriminelen toegang tot de wachtwoorden van alle 30.000 Carpetright accounthouders uit Nederland en België. Hierbij zouden ook de gehashte of versleutelde versies van de wachtwoorden zijn gelekt, meldt de vloerenwinkel in een mail aan zijn klanten.
De aanval werd uitgevoerd via geïnstalleerde malware in de backend van de website. Het zou niet om ransomware gaan.
Via deze malware konden de cybercriminelen onder meer namen, adressen, telefoonnummers en e-mailadressen van klanten buitmaken. Ook kregen zij toegang tot de wachtwoorden de via SHA 256 gehasht waren. De wachtwoorden werden in dezelfde database als de overige gegevens opgeslagen. Financiële of betaalgegevens zijn niet buitgemaakt.
Onderzoek en privacymeldingen
Inmiddels voert Carpetright, in samenwerking met specialisten, forensisch onderzoek uit naar de cyberaanval. Onder meer wordt onderzocht welke data is gelekt en of die is gelekt. Daarnaast heeft de vloerenwinkel inmiddels alle wachtwoorden van klanten een reset gegeven en hen geïnformeerd.
Daarnaast zijn zowel de Nederlandse als Belgische privacyautoriteiten van het datalek op de hoogte gesteld. Dit volgens de verplichtingen in het kader van de GDPR wet- en regelgeving.
Op de eigen website van Carpetright wordt overigens nergens naar het gemelde datalek verwezen.
Lees ook: EuroParcs meldt datalek; gegevens hersteld via back-up
17 uur geleden
