Evenementenorganisator Jaarbeurs heeft via een webapplicatie voor zijn komende ict-vakbeurzen Infosecurity.nl en Data & Cloud Expo gegevens gelekt van geregistreerde bezoekers. Via het lek zijn een kleine vijfduizend zakelijke e-mailadressen en telefoonnummers getoond van de personen die zich geregistreerd hebben voor één-op-één-ontmoetingen. Jaarbeurs heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Het lek is gedicht en de desbetreffende web-app is offline gehaald.
Jaarbeurs heeft gebruikgemaakt van een webapplicatie van een externe leverancier voor de registratie van één-op-één-afspraken rondom Infosecurity.nl en Data & Cloud Expo, zo staat in een verklaring te lezen. Deze webapplicatie helpt geregistreerde bezoekers en exposanten van de gecombineerde vakbeurs elkaar te ontmoeten, zowel voorafgaand als tijdens het evenement. Binnen deze besloten webapplicatie bleken de zakelijke e-mailadressen en telefoonnummers van geregistreerde gebruikers te achterhalen na een ‘bepaalde handeling’, waarover Jaarbeurs uit veiligheidsoverwegingen niet in detail wilt treden. De gelekte data waren alleen toegankelijk voor ingelogde gebruikers.
Lek gedicht en offline
Door de leverancier van de webapplicatie, waarvan Jaarbeurs niet de naam wil noemen om verdere schade te voorkomen, is op 25 september jl. een update aan de app uitgevoerd waarna de data binnen de besloten omgeving te achterhalen waren. Het lek is op dinsdagochtend 8 oktober bij Jaarbeurs door Access42 gemeld; vroeg in de middag was het lek gedicht. De webapplicatie is nu volledig afgesloten. Access42 is een aanbieder van cybersecuritydiensten, was een gebruiker van de webapplicatie en is exposant op Infosecurity.nl en Data & Cloud Expo.
Andere ingelogde gebruikers zouden met dezelfde kennis en de door Access42 uitgevoerde handeling ook data hebben kunnen achterhalen. Jaarbeurs heeft geen aanwijzingen dat dit ook is gebeurd, maar kan dit niet volledig uitsluiten. Wel is op basis van metingen vast te stellen dat het gebruik van de webapplicatie beperkt is gebleven. Jaarbeurs verwacht daarom dat gezien de aard van de data, de beperkte toegang en korte duur van het datalek er geen ongunstige gevolgen zullen zijn voor geregistreerde beursbezoekers. In een online gepubliceerde brief biedt Jaarbeurs bij monde van zijn ceo Albert Arp excuses aan voor het datalek.
Computable Café
Computable is onderdeel van Jaarbeurs en hoofdmediapartner van de ict-vakbeurzen Infosecurity.nl en Data & Cloud Expo. In die hoedanigheid organiseert het op 30 en 31 oktober 2019 Computable Café; een inhoudelijk programma op de beursvloer met discussies over relevante ict-onderwerpen. Op 30 oktober staat van 13.45 tot 14.30 uur de discussie ‘Oh nee, daar is de AVG!’ gepland. Jaarbeurs zal samen met Access42 aan deze sessie meedoen en de geleerde lessen uit zijn eigen datalek delen. Het geeft daarbij een inkijkje in hoe het lek heeft kunnen ontstaan en hoe het was te voorkomen. Bezoek deze sessie.
