Horecaketen JD Wetherspoon gehackt – wat klopt daar niet?

wetherspoon640430De Britse horecaketen JD Wetherspoon, uitbater van cafes en hotels moest vorige week toegeven slachtoffer te zijn geworden van een hack. Tot zover niets opvallends, als overheden met succes kunnen worden gekraakt, dan is dat bij een lower-risk sector als horeca helemaal mogelijk. Toch klopt er iets niet aan deze zaak.

JD Wetherspoon maakt om prceis te zijn melding van de diefstal enkele maanden geleden van meer dan 650.000 zeer volledige sets met onder andere NAW, geboortedatum, telefoon en e-mailadres. De eerste vraag die dat oproept: wat moet een kroeg met al die data? Ben je soms verplicht je online te registeren voordat je daar naar binnen mag? Het wordt nog vreemder als je leest dat er van ongeveer honderd klanten een deel van het creditcard nummer is gelekt (geloof je het zelf, dat onvoorstelbaar kleine aantal klanten?).

De verklaring die nu rond gaat is dat het een database betreft die hoorde bij de oude website die door een externe partij werd beheerd, daarin stond data vanaf 2009. Maar toevallig is JD Wetherspoon recent gemigreerd naar een nieuwe website in beheer bij een andere partij. De oude website met daaraan gekoppelde database(s) is daarmee een kwetsbaarheid geworden die door hackers is gevonden.

Wederom de vraag: wat klopt hier niet?
In ieder geval is het bewaren van zoveel “klantgegevens” over een periode van meer dan 6 jaar al iets waar elke manager wel een verrekte goede smoes voor moet verzinnen. Technisch gezien is de onvermijdelijke constatering dat bij de migratie en relaunch van de online omgeving niemand heeft nagedacht over het definitief slopen van de “online presentatie” en achterliggende zaken bij de oude partij. Om het helemaal triest te maken: van 15.000 mensen die rond 2010 op de payroll stonden zijn de personeelsdossiers gelekt, dat klinkt niet echt naar gescheiden systemen.

Laten we tenslotte de zaak eens omkeren en bekijken vanuit het perspectief van het datacenter, provider, websitebeheerder, annex de bouwer. Wie had hier eerder aan de bel moeten of kunnen trekken? Is het iets dat ook in Nederland kan gebeuren? Zijn de datacenters en hosters hier van mening dat je slapende honden (die de rekening schijnbaar braaf betalen) met rust moet laten of wordt er wel eens informatief gevraagd of alles onder controle is?

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.