Een hacker heeft een lek in de website van familiepretpark Duinrell ontdekt waardoor hij toegang kreeg tot informatie van tachtigduizend nieuwsbriefabonnees. Duinrell heeft direct maatregelen genomen en zegt dat het lek is gedicht. Daarnaast zijn aanvullende beveiligingsmaatregelen genomen om problemen in de toekomst te voorkomen.
De hacker meldde zich zelf bij Duinrell om tekst en uitleg te geven hoe hij toegang wist te krijgen tot het databasesysteem van het pretpark. Duinrell zelf wil daar geen uitspraken over doen. Ook wil het niet zeggen welke aanvullende maatregelen genomen zijn. Wel zegt woordvoerder Peter Wijnen dat het bedrijf Multiminded, de bouwer van de Duinrell-website, het lek direct heeft gedicht. ‘We waren hierdoor onaangenaam verrast, maar gelukkig is het met een sisser afgelopen. De hacker gaf gelukkig openheid van zaken en heeft toegezegd dat hij niks met de e-mailadressen gaat doen. Dat zullen wij ook vandaag gaan communiceren naar onze nieuwsbriefabonnees.'
Boekingssysteem
Duinrell heeft in de website ook een boekingssysteem, maar de woordvoerder benadrukt dat dit systeem niet is gekraakt. Dit systeem is namelijk bij een derde partij ondergebracht.
Zeker als je de gegevens van zoveel mensen online hebt staan, heb je de verantwoordelijkheid om de boel goed te beveiligen. Als iemand nu ook daadwerkelijk verantwoording aflegt, zou er dus een straf moeten volgen voor iemand die verantwoordelijk was voor de falende beveiliging danwel voor diegene die geen budget voor de beveiliging wilde goedkeuren. Ik ben benieuwd wat die straf dan inhoudt. Waarschijnlijk niks… Iemand die even streng wordt toegesproken, that’s it waarschijnlijk.
Omdat mensen hun verantwoordelijkheid niet nemen, of niet hoeven te nemen (omdat ze er immers toch niet voor gestraft zullen worden), werkt dat lekken in de hand.
Zeer waarschijnlijk betreft het lek gewoon ordinaire SQL injectie. Verschrikkelijk dat dit nu nog voorkomt, maar dit is zeker niet de enige site met dit euvel. De oorzaak is vaak dat er in plaats van een robuust standaard CMS te gebruiken (Joomla, Drupal) gekozen is om zelf een CMS te maken (ik kan niet goed zien of dat ook nu het geval is)
@mm: het is in Nederland raar geregeld met dit soort zaken. In dit geval is de exploitant van de website, Duinrell, verantwoordelijk voor het beschermen van de persoonsgegevens. Doen zij dit niet of niet afdoende, dan kunnen de personen wier gegevens zijn uitgelekt hun beklag doen.
Anderzijds is de hacker strafbaar, omdat je nu eenmaal geen systemen mag hacken. Omdat deze hacker de gegevens niet alleen heeft ontvreemd maar ook heeft opgeslagen is de maximale straf 4 jaar gevangenis straf en een boete van 30.000 euro (als ik het me goed herinner)
Het idiote is dat volgens de Nederlandse wet de bouwer van de website niet strafbaar is – d.w.z. deze is alleen gebonden aan de leveringsvoorwaarden van het product of de dienst die deze aan Duinrell verstrekt heeft.