Datalek: persoonsgegevens in broncode site
- 06 juli 2011
En opnieuw heeft Bits of Freedom haar Zwartboek Datalekken uitgebreid. Een website gericht op freelancers blijkt alle profielgegevens in de broncode op te slaan.
Het datalek van de website FreelanceMatch.nl is bijna te slordig om waar te zijn. De gegevens van 10.000 freelancers bleken zichtbaar voor alle bezoekers. Daarvoor hoefden ze niets te doen, anders dan in de broncode van de pagina te kijken.
De ontwikkelaars publiceerden alle gegevens van een profiel die uit de achterliggende databank werden gehaald in de broncode. Dat is waarschijnlijk gebeurd om een probleem te onderzoeken of om nieuwe functionaliteit toe te voegen. Dat is al slordig en onnodig, maar het superslordig om dat vergeten ongedaan te maken. De gelekte gegevens omvatten onder meer e-mailadressen, wachtwoord-hashes, adresgegevens, telefoonnummers, fax-nummers, KvK-nummers, tenaamstelling van bankrekeningen, bankrekeningnummers en informatie over het abonnement. De wachtwoorden waren met MD5 gehasht, zonder salt. Dat betekent dat ze eenvoudig te kraken zijn.
In een reactie laat de oprichter van de website weten dat het lek “helemaal niet goed is”. Het lek was binnen twee uur na de melding verholpen. De beheerders hebben wachtwoorden van de freelancers waarvan de pagina door Google is geïndexeerd aangepast en hen daarvan op de hoogte gebracht.
Update (7 juli 2011): FreelanceMatch.nl heeft op haar website een officiële reactie gepubliceerd.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper (PDF) (HTML).