De site van Albert Heijn gaf onbedoeld de inlognamen en het wachtwoord van zo'n tienduizend gebruikers vrij aan serviceproviders, in een url. AH lichtte getroffen gebruikers per e-mail in. Zij moeten een nieuw wachtwoord instellen.

De inlognamen en wachtwoorden waren volgens Albert Heijn 'kort' zichtbaar in url's. Dit kwam door een programmeerfout in de software die inloggen op de site mogelijk maakt. De gegevens zijn volgens de woordvoerster van AH alleen inzichtelijk geweest door serviceproviders. AH heeft die providers verzocht de data te verwijderen.

"Er is geen ongebruikelijke activiteit waargenomen met betrekking tot de inloggegevens of gebruikersaccounts", stelt Albert Heijn. Uit voorzorg heeft de supermarktketen de wachtwoorden van de desbetreffende accounts geblokkeerd, zodat de getroffen gebruikers een nieuw wachtwoord moeten instellen. Hiervoor moeten zij via 'Wachtwoord vergeten' een link opvragen.

Sinds kort kunnen gebruikers met hun Bol.com-adres inloggen bij ah.nl. De woordvoering van Albert Heijn benadrukt dat die gegevens niet zijn vrijgegeven door de programmeerfout.

Albert Heijn heeft het datalek gemeld bij de Autoriteit Persoonsgegevens.

Update, 12.17: De woordvoering van AH meldt dat data van Bol.com-accounts geen onderdeel waren van het datalek. Ook meldt het bedrijf dat alleen bepaalde serviceproviders de inlognamen en wachtwoorden via de url in konden zien en dat de gegevens over https verzonden werden en dus versleuteld waren. Dit stond aanvankelijk anders in dit artikel. Via publieke wifinetwerken zijn de gegevens dus niet in de logs onversleuteld terug te vinden.

Reacties mogelijk gemaakt door CComment