Het betreft de zogenoemde usb+-sticks; usb-sticks met 8 GB of 16 GB opslaggeheugen waarbij ook gratis cloudopslag werd geleverd. Zowel de usb-sticks als de cloudsoftware zijn niet door Hema zelf ontwikkeld maar door een externe partner.
De usb-sticks installeerden automatisch software die vol met fouten zat en flink verouderd was, ontdekten beveiligingsonderzoekers van de Haagse hackerspace Revspace.
De pincode, bijvoorbeeld, bood geen effectieve beveiliging. De software werd daarnaast door sommige virusscanners aangemerkt als malware.
“Bijna elke beveiligingsfout die je kan maken, zat er in. Het was een soort bingo met volle kaart”, aldus een van de betrokken hackers, die anoniem wil blijven.
Cloudopslag
Bij de meegeleverde cloudopslag deden zich ook de nodige problemen voor. De slechte beveiliging maakte het bijvoorbeeld mogelijk om opgeslagen bestanden van andere gebruikers te downloaden.
Een configuratiefout van de webserver gaf bovendien het wachtwoord van de beheerder prijs, waardoor kwaadwillenden bij alle gegevens van klanten konden komen. Daarnaast was het voor de beveiligingsonderzoekers mogelijk om diverse beheerstaken uit te voeren, zoals het benoemen van nieuwe beheerders.
Verder bleek het bedrijf achter de webdienst de persoonsgegevens van klanten per mail naar een e-mailaccount te sturen dat bij nader onderzoek bleek toe te behoren aan computergigant Apple. Apple heeft echter helemaal niets met de ontwikkelaar van de clouddienst te maken, en waarom dit gebeurde is dan ook onduidelijk.
Vervelend
“We vinden het natuurlijk bijzonder vervelend als een product niet voldoet aan de eisen die wij als Hema daaraan stellen. Zeker in dit geval waar het kan gaan om persoonlijke informatie van klanten. Wij hebben dan ook onmiddellijk het product uit onze winkels gehaald”, stelt een zegsman van Hema.
“Daarnaast zijn wij in contact getreden met de leverancier en met een onafhankelijk adviesbureau om er zorg voor te dragen dat dit product wel voldoet aan de eisen die wij en onze klanten hieraan mogen stellen.”
Het bedrijf achter de clouddienst stelt wijzigingen doorgevoerd te hebben om de beveiliging te verbeteren. Een snelle analyse leert dat dit slechts deels gelukt is en het nog altijd mogelijk is om als beheerder in te loggen. De leverancier van Hema heeft op geen moment contact gezocht of verhelderingsvragen gesteld.
Uit de handel
De beveiligingsproblemen zijn in juli dit jaar door NU.nl gemeld bij Hema, waarna het bedrijf besloot de usb-sticks uit de handel te halen.
NU.nl brengt het verhaal nu pas naar buiten om de kans op misbruik zo klein mogelijk te houden en de verantwoordelijke leverancier alle ruimte te bieden aanpassingen door te voeren. Informatie over het onderzoek is inmiddels online gezet door Revspace.