Logo van Louis Vuitton op de gevel van een filiaal in Milaan

Louis Vuitton dicht kwetsbaarheid in persoonlijke accounts

Laatst bijgewerkt: 28 september 2020
Leestijd: 3 minuten, 11 seconden

Het Franse modemerk Louis Vuitton heeft een kwetsbaarheid gedicht in de accounts van haar klanten. Door dit lek was het mogelijk om de persoonsgegevens van anderen in te zien en zelfs de gehele account over te nemen. Maar dat ging niet zonder slag of stoot.

Dat schrijft BleepingComputer, die meer details heeft over het lek.

Grote veranderingen in het dreigingslandschap

Het dreigingslandschap van cybercriminelen is de laatste jaren flink veranderd. Nog maar een aantal jaar geleden hadden hackers het primair voorzien op nietsvermoedende consumenten die slordig waren omgesprongen met hun inloggegevens. Door bestanden op hun computer te vergrendelen met bijvoorbeeld ransomware, persten ze hun slachtoffers af. Op deze manier verdienden ze enkele honderden, of als ze mazzel hadden, of duizenden euro’s per doelwit.

Tegenwoordig zijn hackers een stuk ambitieuzer en pakken ze hun criminele praktijken een stuk grootser en professioneler aan. In plaats van achter de kleine vissen aan te gaan, zetten ze hun zinnen op internationale bedrijven. Partijen als Blackbaud, Xerox, Intel, Spie International en Brown-Forman (bekend van onder meer Jack Daniel’s) zijn de afgelopen maanden ten prooi gevallen aan cybercriminelen. Ze moesten alle zeilen bijzetten om ernstige datalekken en imagoschade te verhinderen.

Persoonsgegevens en bestelgeschiedenis lagen op straat

Voorkomen is beter dan genezen, zo luidt een aloud gezegde. De hierboven genoemde partijen hadden de pech dat hackers een beveiligingslek wisten te vinden en misbruiken, data buit te maken en flinke sommen losgeld te vragen. Louis Vuitton geeft ze deze kans niet. Het Franse modemerk heeft een jaaromzet van een slordige 15 miljard dollar, waardoor het een aantrekkelijk doelwit is voor criminelen.

Beveiligingsonderzoeker Sabri Haddouche ontdekte een fout in het My Louis Vuitton (MyLV) gedeelte van de site. Daar kunnen klanten hun bestellingen zien en volgen, maar ook hun personalia, woon- en factuuradres, contactgegevens en wachtwoord van hun account wijzigen. Haddouche vond een manier om deze data van andere klanten te bemachtigen, zonder dat hij daarvoor een gebruikersnaam of wachtwoord nodig had.

Op deze manier kon het beveiligingslek worden misbruikt

Hij ging dat in zijn werk? Kinderlijk eenvoudig, zo laat Haddouche tegenover BleepingComputer weten. Hij surfde naar het adres https://account.louisvuitton.com/fra-fr/mylv/registration?A=917XXXXXXXXXXX. De ID-parameter in deze URL (De X-tekens in het gedeelte na ‘A=917’) is te eenvoudig veranderen, omdat de klantnummers oplopend zijn. Door één of twee tekens te vervangen, verscheen de account van een andere MyLV-klant op het scherm, inclusief het e-mailadres.

Voor hackers is het op deze manier kinderspel om e-mailadressen te verzamelen. Met behulp van een brute force attack of credential stuffing kunnen ze dan proberen om in te loggen op hun accounts. Hackers gebruiken dan een geautomatiseerd programma om accounts te kraken. Ze maken hiervoor gebruik van eerder buitgemaakte inloggegevens, die ze bijvoorbeeld via het dark web hebben bemachtigd.

Louis Vuitton dicht het lek, biedt excuses aan

Louis Vuitton heeft een zogeheten bug bounty programma. Ontwikkelaars en IT’ers die een potentieel gevaarlijk beveiligingslek ontdekken, kunnen dit doorgeven aan de beveiligingsspecialisten van het bedrijf. Als het lek ernstig genoeg is, krijgen zij daarvoor een financiële beloning.

Aangezien Haddouche geen black hat hacker is, gaf hij het beveiligingslek door aan Louis Vuitton. Aanvankelijk kreeg hij een reactie waarin stond dat het bedrijf “geen gehoor kon geven aan zijn voorstel”. Daarop besloot hij om de kwestie via Twitter aan te kaarten. Pas toen zag Louis Vuitton de ernst in van het beveiligingslek. De IT-afdeling dichtte daarop onmiddellijk het lek. Het bedrijf bedankte de beveiligingsdeskundige voor zijn feedback en bood haar excuses aan voor de eerdere reactie.

Haddouche is blij dat het lek gedicht is, maar is er niet gerust op dat het twee weken heeft moeten duren. “Iedereen had in die periode toegang tot mijn account en was in staat om mijn gegevens in te zien en het lek te misbruiken”, zo vertelt hij tegenover BleepingComputer.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen