Datalek: ook bij Politiebond gegevens niet veilig
- 11 juli 2011
Bits of Freedom heeft haar Zwartboek Datalekken alweer bijgewerkt. Ook de gegevens in databanken van de Nederlandse Politiebond bleken niet veilig.
De aanvallers hebben de gegevens uit de databank op internet gepubliceerd. De gegevens omvatten onder meer de gebruikersnamen, versleutelde wachtwoorden en een aantal volledige namen. De versleuteling van de wachtwoorden is eenvoudig waardoor het betrekkelijk makkelijk is om de wachtwoorden zelf te herleiden. Door de gebruikersnaam en wachtwoord te gebruiken kan toegang worden verkregen tot het volledige profiel van een gebruiker.
De tipgever meldde Webwereld dat de aanvallers een lek hebben kunnen misbruiken uit een verouderde versie van de software die door de Politiebond is gebruikt. De informatie kon uit de databank uitgelezen worden met behulp van een zogenaamde SQL-injectie, waarbij invoer van gebruikers onvoldoende gecontroleerd wordt.
De Nederlandse Politiebond bagatelliseerde het lek in eerste instantie. Nadat de bond doordrongen was van de ernst van het probleem werd de website gedurende een paar dagen offline gehaald. Nu de website weer online is, is er nog altijd sprake van beveiligingsproblemen.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: nu er steeds meer informatie over ons wordt opgeslagen, groeit het risico dat de verantwoordelijke de controle over onze informatie verliest. Zonder dat wij dat ooit te weten komen. Bits of Freedom heeft daarom een tekstvoorstel voor een wetsartikel geschreven, dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper (PDF) (HTML).