Datalek: Gegevens Postcode loterij klanten op straat
- 21 februari 2011
Bits of Freedom heeft alweer haar Zwartboek datalekken bijgewerkt. Door een ontbrekende beveiliging waren de gegevens van willekeurige Postcode loterij klanten op te vragen.
Mensen die regelmatig een gokje wagen met de Nationale Postcodeloterij kregen als bedankje een uitnodiging om mee te doen op de website Gelukscode.nl. Na het invullen van de ontvangen code, kreeg de gebruiker een pagina te zien waarop gekozen kon worden uit drie “cadeaus” en het aantal extra loten waarmee gegokt kan worden. Om het de gebruiker gemakkelijk te maken waren de adresgegevens van de gebruiker, die gekoppeld zijn aan de gelukscode, al ingevuld.
En daar zit ’em juist het probleem. Door een gokje te wagen en ander ander getal als gelukscode te proberen, was het mogelijk om de persoonsgegevens van willekeurige klanten van de Nationale Postcodeloterij te achterhalen. Soms waren niet alleen de adresgegevens van de klant zichtbaar, maar ook diens e-mailadres en telefoonnummer. Het leek mogelijk te zijn om voor anderen te bestellen – al hebben wij dat natuurlijk niet uitgeprobeerd.
De Postcodeloterij ziet niet wat het probleem is. “Vorige week belden heel veel mensen ons omdat ze hun gelukscode niet konden invullen”, zegt een woordvoerder. Naar aanleiding hiervan is de site aangepast.
“We wisten dat het zo mogelijk was om gegevens van anderen te zien, maar iedereen vult in principe toch zijn eigen code in? Wij hebben verder geen klachten gehad. En de meeste gegevens zijn ook te vinden in de telefoongids.”
Martin Ackermans meldde op 18 februari het bestaan van het lek. Het probleem op de postcode loterij site, is ondertussen opgelost.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat wetsvoorstel toegelicht in een position paper (PDF) (HTML).