Online backupfunctie van USB-stick HEMA dramatisch slecht beveiligd

Het gaat om de USB+. HEMA verkocht deze USB-stick met 8 tot 16 GB opslagruimte die bestanden in de cloud kon opslaan. Een extern bedrijf levert de USB-sticks. De algemene beveiliging van de stick zelf is al zwak: verouderde software en slecht werkende pincodes. Daarnaast herkent je computer de stick als malware.

Onversleuteld

De verbinding met de externe website is nog slechter beveiligd en je bestanden zijn onversleuteld beschikbaar op de servers van Amazon. Iedereen die een beetje kan hacken, kan al je bestanden in een oogopslag zien. Ook worden je gegevens doorgestuurd naar een extern emailaccount op de Apple-servers, maar Apple heeft hier niets mee te maken.

Daarnaast was het wachtwoord van de beheerder ook bekend. Mensen konden bij alle gegevens van klanten komen en diverse beheerderstaken waren uit te voeren, zoals het toevoegen van nieuwe beheerders.

In juli heeft Nu.nl-journalist Brenno de Winter hierover al contact gehad met HEMA. Maar in de maanden daarna is er nog maar weinig verbeterd. De USB-sticks zijn in ieder geval uit de handel gehaald. Maar de huidige clouddienst is nog steeds slecht beveiligd.

Wat zegt HEMA

"We vinden het natuurlijk bijzonder vervelend als een product niet voldoet aan de eisen die wij als Hema daaraan stellen. Zeker in dit geval waar het kan gaan om persoonlijke informatie van klanten. Wij hebben dan ook onmiddellijk het product uit onze winkels gehaald", aldus een woordvoerder van Hema tegen Nu.nl.

"Daarnaast zijn wij in contact getreden met de leverancier en met een onafhankelijk adviesbureau om er zorg voor te dragen dat dit product wel voldoet aan de eisen die wij en onze klanten hieraan mogen stellen."

Informatie over het onderzoek is online te vinden op Revspace.