Hackers stelen betalings- en persoonsgegevens Spreadshirt-klanten

Gekleurde T-shirts liggen in de schappen van een kledingszaak

Hackers zijn erin geslaagd om het computersysteem van Spreadshirt te infiltreren en privacygevoelige informatie buit te maken. Het gaat om onder meer betalings- en persoonsgegevens, maar ook contractgegevens van partners. De webshop adviseert klanten om hun wachtwoord te veranderen.

Dat schrijft Spreadshirt op haar website. Particulieren en zakelijke klanten waarvan gegevens zijn gestolen, zijn maandagavond per e-mail daarvan op de hoogte gebracht.

Deze gegevens hebben de hackers buitgemaakt

In een persverklaring schrijft de webwinkel, die gespecialiseerd is in het maken van gepersonaliseerde T-shirts voor onder meer retailers en sportclubs, dat ze het doelwit is geworden van een ‘georganiseerde cyberaanval’. De hackers wisten naar eigen zeggen de ‘hoge veiligheidsnormen’ te omzeilen en toegang te krijgen tot de servers waarop deze gegevens zijn opgeslagen.

Het gaat daarbij om adres- en contractgegevens van klanten, partners, medewerkers en externe dienstverleners. Bij een deel van de klanten zijn bank- en betalingsgegevens buitgemaakt. Volgens het persbericht gaat het om ‘een klein deel van de klanten die via een overschrijving bij Spreadshirt, Spreadshop of TeamShirts hebben betaald of een terugbetaling hebben ontvangen’. Iedereen waarvan betalingsgegevens zijn gestolen is per e-mail daarvan op de hoogte gebracht.

Aanvallers stelen wachtwoordhashes

Uit correspondentie die is ingezien door VPNGids.nl blijkt dat ook wachtwoordhashes die vóór 2014 zijn opgeslagen zijn bemachtigd door de aanvallers. Een hash is simpel gezegd een functie waarbij een wachtwoord (input) door een wiskundig proces wordt omgezet in een reeks die altijd dezelfde lengte heeft (output). Een hacker die hashes steelt, beschikt dus niet over de wachtwoorden, maar enkel versleutelde wachtwoorden. Om de daadwerkelijke wachtwoorden te verkrijgen, zal hij de hashes eerst moeten kraken.

Andere media schrijven dat er ook PayPal-gegevens zijn gestolen. Dit wordt echter in de persverklaring noch in de e-mail genoemd door Spreadshirt.

Cyberaanval heeft geen invloed op bedrijfsvoering

Spreadshirt zegt onmiddellijk maatregelen te hebben genomen om ‘alle gegevens te beschermen’ nadat de aanval was gedetecteerd. Het IT-crisisteam werkt samen met externe cybersecurityspecialisten om ervoor te zorgen dat het voorval zich in de toekomst niet kan herhalen. De shirtverkoper zegt dat het incident geen invloed heeft op de bedrijfsactiviteiten en dat alle systemen normaal draaien.

Spreadshirt zegt dat de opsporingsinstanties zijn ingeschakeld. Of de Autoriteit Persoonsgegevens reeds is ingelicht over het datalek, is niet bekend. Europese privacywetgeving verplicht bedrijven en organisaties om de nationale toezichthouder daarvan binnen 72 uur op de hoogte te brengen. “Gegevensbeveiliging heeft voor ons de hoogste prioriteit”, meldt het bedrijf in de e-mail aan klanten.

‘Wijzig je wachtwoord’

Wie een account bij Spreadshirt, spreadshop of TeamShirts heeft, wordt aangeraden om het wachtwoord te veranderen. Om een sterk wachtwoord te maken, geeft de webshop enkele tips. Ze adviseert om een zo lang mogelijk wachtwoord te maken, geen persoonlijke gegevens in het wachtwoord te verwerken (zoals een naam of geboortedatum) en cijfers, symbolen, hoofd- en kleine letters te gebruiken. Verder raadt Spreadshirt aan om voor al je online accounts verschillende wachtwoorden te gebruiken en regelmatig je inloggegevens te wijzigen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen