Interessante Kamerstukken – week 20

Datalek: wie leest de PvdD nieuwsbrief?

Regering onderzoekt haastprocedure voor websiteblokkades
DOSSIER / Zwartboek datalekken

Bits of Freedom heeft haar Zwartboek datalekken uitgebreid. Wie altijd al wilde weten wie de nieuwsbrief van de Partij van de Dieren leest, kon dat gewoon zelf opvragen.

De nieuwsbrieven van de Partij van de Dieren zijn via de website van de partij in te zien. Om de gegevens van abonnees in te zien volstaat het aanpassen van het adres van de pagina. Door het uitbreiden van dat adres met opdrachten waarmee een databank uitgelezen kan worden, kon ook daadwerkelijk informatie uit de databank achter de website opgehaald worden. Met de juiste opdrachten kreeg de bezoeker onder meer dit te zien:

userid;usermail;dateadded;confirmed;uniqid
2796;[emailadres];1286982750;1;84bc6e4f7dedfbf5ffb4d4155fe16350
4014;[emailadres];1286982754;1;430a70324ac3c4244c4d66f7ec705a53
4868;[emailadres];1286982757;1;25a7f7fd5134233d577b80bd59b327b8
55954;[emailadres];1288971240;1;56f829c0043c63346ce4f78e75afc131
59013;[emailadres];1288971942;1;3f0516cdbe8b5792a289ffdd7e7ccb16

Deze tabel bevat onder meer het e-mailadres van de abonnee en het moment waarop het adres is ingeschreven. Niet alleen verschillende e-mailadressen van partijleider en fractievoorzitter Marianne Thieme zijn inzichtelijk, maar ook die van zo’n 37.000 andere abonnees.

De partij stelde dat het lek waarschijnlijk na “werkzaamheden aan de website” is ontstaan en heeft het gat gedicht. In een reactie schreef de partij dat “erg vervelend en uiteraard niet de bedoeling was.”

Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat wetsvoorstel toegelicht in een position paper (PDF) (HTML).

  1. Palatinux

    Zelf ben ik al jaren actief als beveiligingsspecialist van computersystemen en heb al vele beveiligingslekken moeten dichten NADAT er al informatie ontvreemd was van een bedrijfsnetwerk. En ik heb al te vaak meegemaakt dat mijn klanten weigerde om alle beveiligingslekken te laten dichten vanwege het prijskaartje wat er aan vast zat, waardoor een groot deel van die systemen tot op de dag van vandaag nog steeds zo lek zijn als een mandje. Mede hierom is het van belang dat dit soort gevallen verplicht gemeld moeten worden. Van de honderden gevallen die ik behandeld heb is er geen een naar buiten gebracht door de betreffende organizaties.

  2. Palatinux

    @ Rejo, Een tijdje geleden had ik per toeval een mysql beveiliginsfout ontdekt bij een email-marketingbedrijf (waardoor ik gespamd werdt) die onder andere mailings verzorgt voor verzekeringen, overheid en de semi-overheid. Hierbij was het mogelijk om alle persoonlijke klantgegevens in te kijken. Dit heb ik gemeld aan de betreffende organizatie, maar ik heb nooit meer een reactie ontvangen en de deur staat soms nog steeds open. Ik kan natuurlijk het bewijs overdragen aan de BOF, maar loop ik zelf dan geen risico?

  3. Rejo Zenger

    Nee, alle meldingen worden vertrouwelijk behandeld. Bij contact met de organisatie en opname in het zwartboek vragen we altijd eerst of de melder juist wel of niet genoemd wil worden. Belangrijker is of er voldoende documentatie voorhanden is en of het voor ons controleerbaar is. Stuur gerust een e-mail naar rejo.zenger@bof.nl als je meer wilt weten (dat kan ook versleuteld, zie contactpagina).

  4. Palatinux

    Dat is mooi, kan ik morgen de nieuwe GPG versie uittesten in Fortress Linux. Misschien dat BOF in de toekomst een wet kan doordrukken met betere technische beveiligingseisen van websites en servers die persoonlijke gegevens verwerken, met het zwartboek als (slecht) voorbeeld. Wat betreft PvdD, dit had eenvoudig voorkomen kunnen worden door een webdesigner in te schakelen die gebruikt maakt van de AES mysql extensie, LDAP en de MVC manier.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.