Er is iets goed mis bij webshop update.nl. De webshop is al dagen een week bezig met het verhinderen van phishing mails die vanuit haar mailservers worden verstuurd, maar lijkt het niet onder controle te krijgen.
Op 17 juni ontvingen we vanuit klant@update.nl het eerste phishing bericht. Verzonden met de melding dat we hier op de redactie zouden worden uitgeschreven bij de KVK. Nu staat GadgetGear.nl niet ingeschreven bij de KVK omdat het geen bedrijf op zich is, dus voor ons is het meteen duidelijk dat er niets aan de hand is.
Op 19 juni 2023 bracht één van onze collega’s de webshop al op de hoogte van het probleem. Toen kreeg de collega het bericht terug dat de webshop op de hoogte was en dat ze al bezig waren het probleem te verhelpen. Nu, bijna een week later, verstuurt de webshop nog steeds phishing mails en lijkt het erop dat ze het probleem helemaal niet onder controle hebben. Immers worden deze berichten nog steeds vanuit de klantenservice van Update.nl verzonden. Het derde en laatste bericht dat we hebben ontvangen dateert van 24 juni. De vraag is nu of het enkel een mailbox is waar hackers toegang toe hebben gekregen of dat de website / webserver is gehackt.
Een snelle security scan op hun website toont aan dat het scenario van een gehackte website niet geheel onrealistisch is. De webserver waarop Update.nl draait, werkt nog met PHP 7.4.6 wat al sinds november 2022 geen security patches meer ontvangt. De reden dat ze nog een zwaar verouderde en onveilige PHP versie draaien, zit hem waarschijnlijk in de webshop software. De webshop draait namelijk nog op Magento 2.3.5. uit augustus 2020 en mist daarmee ook een berg aan security patches. We zien geen firewall, geen security headers. Indien de webshop inderdaad is gehackt, heeft de hacker ook toegang tot een berg persoonsgegevens en wachtwoorden verkregen en hopen we dat de webshop op tijd melding heeft gemaakt bij de Autoriteit Persoonsgegevens. Als dat niet binnen 72 uur na ontdekken is gedaan, dan is de webshop nalatig en strafbaar. Al is de kans niet heel groot dat de Autoriteit Persoonsgegevens de capaciteit heeft om hier op te acteren.