Wat wordt het: de fans straffen of de kunstenaars belonen?

Datalek: Publieke omroep lekt 2,3 miljoen gegevens

Datalek: Gegevens toegankelijk op Sinterklaasjournaal.nl
DOSSIER / Zwartboek datalekken

Bits of Freedom heeft haar Zwartboek Datalekken alweer uitgebreid. De publieke omroepen lekken, samen met enkele commerciële radiostations, maar liefst 2,3 miljoen persoonsgegevens.

De oorzaak van het lekken van 2,3 miljoen persoonsgegevens bleek een niet bijgewerkte versie van het content management system ABC Manager te zijn. Het systeem voor websites bleek toegankelijk via een eenvoudige SQL-injectie. Een hacker wist via deze bekende hacktechniek tabellen met persoonsgegevens en het wachtwoord van een beheerder te achterhalen. Dat ene wachtwoord gaf toegang tot maar liefst 160 websites van de publieke omroep. Met dit wachtwoord was het bovendien mogelijk wijzigingen aan te brengen op de websites. De hacker meldde het lek direct aan de redactie van Webwereld.

Bij een SQL-injectie wordt de invoer van de gebruiker, zoals het paginanummer of een zoekterm, onvoldoende gecontroleerd. De gebruiker kan daardoor extra opdrachten aan de databank achter de website geven. Op die manier wordt informatie toegankelijk die dat niet behoort te zijn.

Op deze manier werden de namen, adressen, telefoonnummers, emailadressen en op de website achtergelaten reacties blootgelegd. Bij QMusic betrof het niet alleen de NAW-gegevens, maar ook de naam van de werkgever en de functie. Bij sommige programma’s waren ook foto’s van gebruikers op te vragen. Ook bij de NTR, maker van onder andere het Klokhuis, Sesamstraat en het Sinterklaasjournaal, bleken persoonlijke gegevens eenvoudig toegankelijk. Bij BNN gaat het om de websites van programma’s als Spuiten en Slikken, Weg met BNN en Patrick in Uruzgan. Omroep.nl biedt toegang tot de websites van alle grote publieke Nederlandse radiostations en televisie omroepen.

Vooral 3FM, QMusic en de website van Klokhuis lekten veel gegevens. Sommige tabellen met persoonsgegevens bevatten de informatie van honderdduizenden mensen. Zo gaat het bij het Klokhuis om ruim 230.000 adressen, terwijl 3FM meer dan 500.000 accounts beheert.

Angry Bytes, het bedrijf achter de websites, reageert geschrokken. Het bedrijf zegt direct overleg te hebben gevoerd met haar klanten en de beheeromgevingen afgesloten te hebben.

Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.