Een Duits marktonderzoeksbureau heeft privacygevoelige informatie van 41.000 particulieren online laten slingeren. Deze personen hadden erin toegestemd hun data te gebruiken voor het doen van testaankopen. TNS Infratest/Emnid is onderdeel van de TNS Group, waartoe ook het Nederlandse TNS NIPO behoort.
Het Duitse marktonderzoeksbureau TNS Infratest/Emnid heeft privacygevoelige informatie van 41.000 particulieren online gezet, zonder deze informatie afdoende te beveiligen. TNS Infratest/Emnid is onderdeel van de TNS Group, waartoe ook het Nederlandse TNS NIPO behoort.
Gegevens over onder andere salaris, ziektekostenverzekeringen, creditcards, adres, telefoonnummer en aangeschafte elektronische apparatuur konden via een portal worden ingezien na ingelogd te hebben met een gebruiksernaam en wachtwoord. Door het wijzigen van het user-ID in de adresbalk, kon de portalbezoeker toegang krijgen tot alle andere klantgegevens.
Scriptje
Dat ontdekte de Chaos Computer Club. De Duitse hackersorganisatie kwam op het spoor van het beveiligingslek doordat een onbeschreven bruine envelop op de deurmat viel. Daarin zat een vel papier met daarop een webadres, een klantnummer en een wachtwoord. Het internetadres bleek te verwijzen naar een portal waaruit Mystery-Shoppers, na ingelogd te hebben met gebruikersnaam en wachtwoord, gegevens kunnen halen voor het doen van testaankopen. De hackers schreven een Python-script dat automatisch nieuwe ID's invoerde en konden zo de gegevens van 41.000 particulieren achterhalen.
De particulieren wier persoonlijke gegevens te grabbel zijn gegooid, hadden erin toegestemd om hun persoonlijke gegevens te gebruiken voor het doen van testaankopen. TNS voert deze testaankopen in opdracht van bedrijven uit, om de kwaliteit van hun dienstverlening te testen.
Niet van marktonderzoeken
TNS Infratest/Emnid werpt tegen dat om toegang te krijgen tot de databank bezoekers een gebruikersnaam en wachtwoord nodig hebben. Daarnaast meldt het onderzoeksbureau dat de databank vijf minuten na het verschijnen van het persbericht van de CCC offline is gehaald. Ook is een beveiligingsbedrijf in de arm genomen om de beveiliging van het portaal aan de tand te voelen. Bovendien wijst TNS erop dat de slecht beveiligde gegevens niet afkomstig zijn van marktonderzoeken, noch van klanten.
De woordvoerder van TNS NIPO: "Onze mystery shoppers hebben geen toegang tot respondentgegevens uit marktonderzoeken. Ze gebruiken bovendien geen gegevens van particulieren om daarmee hun testaankopen te doen. Onze mystery shoppers zijn freelancers die zelfstandig op pad gaan om de dienstverlening van bedrijven te onderzoeken."