Carpetright waarschuwt klanten voor een datalek. Volgens de retailer van vloerbedekking en raamdecoratie heeft er zich onlangs een incident voorgedaan waarbij gehashte wachtwoorden zijn buitgemaakt. Het bedrijf heeft het wachtwoord van gedupeerden gereset en adviseert betrokkenen om dit bij andere online platformen te doen als ze daar hetzelfde wachtwoord gebruiken.
Dat schrijft Carpetright in een e-mail aan klanten, die is ingezien door VPNGids.nl.
Carpetright adviseert klanten om wachtwoord ook elders aan te passen
Op maandag 19 februari ontdekten medewerkers van Carpetright dat er een datalek had plaatsgevonden. Daarbij zijn gehashte versies van wachtwoorden gestolen, zo blijkt uit een analyse. Dat zijn wachtwoorden waarbij een algoritme het oorspronkelijke wachtwoord omzet in reeks onbegrijpelijke tekens om de vertrouwelijkheid ervan te beschermen en ongeoorloofd gebruik en toegang te voorkomen. Simpel gezegd, hackers moeten gehashte wachtwoorden eerst zien te kraken voordat ze deze kunnen inzien en gebruiken.
Uit voorzorg heeft Carpetright de wachtwoorden van gedupeerden gereset. “Dat is onderdeel van onze standaard incidentrespons”, zo legt het bedrijf uit. Betrokkenen moeten een nieuw wachtwoord instellen voordat zij weer toegang krijgen tot hun account.
“Hoewel de wachtwoorden gehasht waren en gereset zijn, raden we je aan om je wachtwoord te wijzigen op elk ander platform waar je hetzelfde wachtwoord hebt gebruikt”, zo schrijft Carpetright aan getroffen klanten. Een andere tip die het bedrijf geeft om wachtwoorden veilig en uniek te houden, is door een wachtwoordmanager te gebruiken.
Mogelijk ook klantgegevens gestolen
In een reactie tegenover Tweakers.net zegt Carpetright dat de back-end van de website was geïnfecteerd met malware. Naast gehashte wachtwoorden zijn mogelijk ook namen, adressen, telefoonnummers en e-mailadressen van klanten gestolen. De wachtwoorden waren in dezelfde database opgeslagen als de klantgegevens. Betaalgegevens zijn volgens een woordvoerder niet buitgemaakt, omdat die informatie elders is opgeslagen.
Carpetright zegt dat het cybersecuritybedrijf NFIR heeft ingeschakeld voor digitaal forensisch onderzoek. Beveiligingsmedewerkers van dat bedrijf gaan de logs bestuderen om te zien of er daadwerkelijk gehashte wachtwoorden of andere gegevens zijn gedownload.
Verder vertelt de woordvoerder dat mogelijk de gegevens van alle 30.000 klanten zijn ingezien. Naast Nederlanders zijn er ook Belgische slachtoffers. Om die reden is het datalek niet alleen gemeld bij de Autoriteit Persoonsgegevens, maar tevens bij de Gegevensbeschermingsautoriteit.
Dit moet je weten over Carpetright
Carpetright is van oorsprong een Brits bedrijf dat in 1988 werd opgericht. Naast vloeren verkoopt het bedrijf ook vloerkleden, gordijnen, raamdecoraties en bedden. De winkelketen telt meer dan vijfhonderd winkels in het Verenigd Koninkrijk en de Benelux, waarvan 88 in Nederland en 22 in België. Carpetright heeft meer dan tweeduizend medewerkers in dienst.
