De bestelsite Butlon bevatte een lek waardoor eerdere bestellingen van klanten konden worden opgezocht door de url te veranderen. Daarbij was ook het adres te zien. Na een tip van Tweakers heeft Butlon het lek gerepareerd.
Butlon is een besteldienst uit Enschede waar klanten bij restaurants uit hun omgeving kunnen bestellen, maar ook bij Butlons eigen supermarktdienst. Tweakers kreeg een tip via Publeaks over een datalek in de dienst. Daarbij bleek het mogelijk de bestelinformatie van klanten die bij het supermarktgedeelte eten kochten in te zien. Daarbij hoefde alleen de url te worden aangepast. Die eindigde na een succesvolle bestelling met een uniek cijfer dat opliep. Door het cijfer te veranderen kon een andere order worden bekeken. Daarin stond het eten dat was besteld en het totaalbedrag, maar ook het adres van de klant.
Butlon reageert tegen Tweakers dat het het lek direct heeft opgelost. "We hebben extra beveiligingsmaatregelen genomen om onze data beter te beschermen", schrijft het bedrijf. "Een voorbeeld hiervan is dat we nu url's van bestellingen randomizen en het is verplicht om in te loggen om oude bestellingen terug te vinden. Daarnaast hebben we de url uit de bevestigingsmail gehaald die klanten ontvangen."
Een woordvoerder licht later ook toe: "We hebben inmiddels ook plannen voor maatregelen zoals het uitvoeren van een pentest. We zijn de afgelopen maanden ontzettend hard gegroeid en dan wil dit soort dingen er nogal eens bij inschieten."
Dit artikel kwam tot stand na een tip op Publeaks, het klokkenluidersplatform waar Tweakers ook bij is aangesloten. Ook anoniem een tip insturen? Doe dat dan via Publeaks.nl of via 5karyquenden4d6k.onion op Tor.