Teeven's tweede voornemen: de onbespiede internetgebruiker

Datalek: Amsterdams escortbureau lekt gegevens

Nieuwsbrief: Teeven’s eerste voornemen: kleinschalige downloaders worden niet aangepakt
DOSSIER: Zwartboek datalekken

Bits of Freedom heeft haar Zwartboek Datalekken alweer uitgebreid. Een genant datalek waar de persoonlijke gegevens van 824 klanten van een escortservice toegankelijk werden.

Een eenvoudige SQL-injectie was opnieuw voldoende om de informatie via de website bloot te leggen.

De namen zijn ongetwijfeld gefingeerd, maar ook de adressen, gebruikersnamen, email-adressen, wachtwoord en datum waren eenvoudig toegankelijk. Er was ook een tabel met leden in te zien. Met een SQL-injectie wordt de invoer van de gebruiker, zoals het paginanummer of een zoekterm, onvoldoende gecontroleerd. De gebruiker kan daardoor extra opdrachten aan de databank achter de website geven. Op die manier wordt informatie toegankelijk die dat anders niet is.

Klanten van het Amsterdamse escortbureau moeten een naam en adres opgeven als ze vragen of opmerkingen hebben. De e-mailadressen worden opgeslagen voor het versturen van een nieuwsbrief. De escortservice was niet bereikbaar voor commentaar.

Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.