DSIT, moederbedrijf van webshops als ServerKast.com, UTP-Kabel.nl en PatchKast.nl, zegt slachtoffer te zijn geweest van een hack waarbij onder meer naw-gegevens en versleutelde wachtwoorden zijn buitgemaakt. 'Inactieve' accountwachtwoorden zijn met MD5 gehasht.
Het datalek was op 6 april, maar op dinsdag zeggen meerdere tweakers in een GoT-topic een mail van het webshopbedrijf te hebben ontvangen. In die mail geeft DSIT aan dat er na een hack ongeoorloofde toegang is geweest tot klantgegevens. 'Mogelijk' zijn hierbij gegevens gestolen. In het forumtopic zeggen tweakers sinds medio april phishingmails te ontvangen die gericht zijn aan mailadressen die voor DSIT-webshops zijn gebruikt. Het gaat onder meer om betalingsverzoeken die ogenschijnlijk in naam van DSIT-webshops zijn verzonden.
Onder DSIT vallen ServerKast.com, PatchKast.nl, PatchKast.com, PatchKast.be, UTP-Kabel.nl en Glasvezel-kabel.com. Het is niet bekend of alle webshops door de hack zijn getroffen en van hoeveel klanten er data is gestolen, Tweakers heeft hierover vragen gesteld. Onder de mogelijk gelekte data vallen naam en bedrijfsnaam, eventuele btw-nummers, e-mailadressen, telefoonnummers en ordergegevens zoals producten en aantallen. Betaalgegevens zijn volgens DSIT niet gelekt, omdat die gegevens niet bij de webshops worden geregistreerd.
Bij de aanval zijn mogelijk ook wachtwoorden gelekt. Deze waren versleuteld, afhankelijk van de activiteit was dit met een SHA- of een MD5-hash. Oude wachtwoorden van inactieve accounts zijn met MD5 gehasht, waarbij er sprake is van een korte of lange salt, afhankelijk van het wachtwoord. Waarvan een korte of lange salt afhankelijk is, is niet duidelijk. 'Recente' accounts zijn met SHA256 of SHA512 gehasht, beide met lange salt van minimaal 32 karakters. Bij het inloggen van een account wordt het wachtwoord standaard naar de laatste hashmethode bijgewerkt. DSIT geeft geen data over wanneer een gebruiker ingelogd zou moeten zijn om een met SHA gehasht wachtwoord te krijgen.
DSIT zegt het datalek te hebben gemeld bij de Autoriteit Persoonsgegevens, zoals verplicht is in dergelijke gevallen. Verder zegt het bedrijf 'een groot deel' van de phishingmails tegen te hebben gehouden, is de beveiliging aangescherpt en zijn wachtwoorden aangepast.
