Op de website van het voormalige tv-programma Breekijzer waren tot de tweede week van augustus 2010 de persoonlijke gegevens in te zien van ongeveer 13.000 personen die online een klachtenformulier hadden ingevuld. Dat kon door zelf een klacht in te dienen en dan het volgnummer aan het einde van de URL te wijzigen. Dat meldt burgerrechtenbeweging Bits of Freedom (BoF).
Op de website van het tv-programma dat geschillen tussen burgers, bedrijven en overheden behandelde, stond tot de tweede week van augustus 2010 een formulier waarop mensen klachten konden aanmelden voor behandeling in het programma. Behalve een omschrijving van klacht werd de klagers ook gevraagd om persoonsgegevens, zoals naam, adres, telefoonnummers, e-mailadres en geslacht. Ook de klachten zelf bevatten volgens BoF 'vanzelfsprekend ook gevoelige gegevens.'
Door het aanpassen van het volgnummer in het adres van de browser konden bezoekers gemakkelijk ook de klachten van anderen inzien. 'Een grove telling doet vermoeden dat bijna 13.000 klachten op die manier publiekelijk waren', meldt de burgerrechtenbeweging.
Pogingen van BoF om contact op te nemen met presentator en programmamaker Pieter Storms of de zenders RTL en SBS6 die het programma uitzonden, bleken niet succesvol. Uiteindelijk heeft Bits of Freedom contact opgenomen met de hosting provider. Deze reageerde wel snel en zorgde ervoor dat de persoonsgegevens niet langer toegangelijk waren.
‘Extra beveiligde server’
Ironisch genoeg vermeldde het privacy statement op de website: 'Breekijzer heeft passende maatregelen getroffen ter beveiliging van de door de bezoekers verstrekte persoonsgegevens. Alle gegevens worden opgeslagen in een extra beveiligde server.'
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een probleem, dat volgens de burgerrechtenbeweging groeiend is: er wordt steeds meer informatie over ons opgeslagen, en het risico dat die informatie kwijtraakt groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden.
Bekend probleem he
Het vinkje ‘maak server veilig’ aanklikken en daarmee is de kous af.
Dat is hedendaagse ICT.
Ben benieuwd of Pieter Storms hier nog aandacht aan besteedt, of reageert hij net zo alergies als de nieuwe mevrouw Storms.
Definieer ‘een extra beveiligde server’… Eentje met geaard stopcontact en waterdichte koffiebekerhouder? 😉
Een server in een extra beveiligde bunker met drievoudig uitgevoerde stroomvoorziening, minstens 25 meter boven zeeniveau met een volledig redundant uitgevoerde kopie op een andere locatie.
Remote desktop erop met pieter/storms.
Tja, als je ook een breekijzer in je beveiliging zet dan kraak je alles… ;-)))
Ik kan het alleen nog benaderen uit de google cache..
Jammer dat er ook bij de webontwikkelaar(s) blijkbaar zo weinig bewustwording was waar ze mee bezig waren. Ervan uitgaande dat Pieter Storms niet zelf de website heeft zitten programmeren is hij waarschijnlijk af gegaan op wat de ontwikkelaars geroepen hebben. Als je zelf niet technisch bent moet je vertrouwen op de ‘deskundigen’. Niet dat ik hem probeer te verdedigen overigens, maar het heeft ook met beroepstrots te maken dat je zoiets als ICT-er niet op zou moeten willen leveren.
Net als toestaan van SQL injecties via webformulieren een elementaire ontwikkelfout… Zoveel jaar terug heb ik dat ook eens gezien bij de site van een reisbureau. Door een ordernummer in het webadres kon je eenvoudig boekingen van anderen zien (en dus zien wanneer ze van huis weg waren).
breekijzer werkt