Datalek: BOVAG database staat open
- 04 november 2011
Bits of Freedom heeft haar Zwartboek Datalekken alweer uitgebreid. Een website van de autobranchevereniging BOVAG gaf eenvoudig toegang tot de databank. Accounts en persoonsgegevens lekten en buitenstaanders konden valse reviews plaatsen.
Door wat adressen van pagina’s te manipuleren was de hele database van een website van de BOVAG te benaderen. Uit de open database konden namen, e-mailadressen en versleutelde wachtwoorden van alle BOVAG-bedrijven lekken. Ook persoonsgegevens en e-mailadressen van bezoekers die zich op de site registreerden om te kunnen reageren waren toegankelijk. Bovendien konden kwaadwillenden valse reviews indienen met een willekeurig account van een ander.
In de applicatie werd geen enkele validatie gedaan op de invoer van een gebruiker. Foutmeldingen van de databank werden op het scherm van de bezoeker getoond en zonder veel moeite was de hele databank bloot te leggen. De website is geleverd door KlantenVertellen, dat op zijn beurt het bedrijf FullWebService inhuurde voor het programmeerwerk. Alle betrokken partijen zijn door Webwereld op de hoogte gebracht. Het datalek is inmiddels gedicht.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper.
Update 7 november: BOVAG neemt het probleem van datalekken serieus, zo blijkt uit het aangepaste artikel van Webwereld. De woordvoerder zegt ook geen aanwijzingen te hebben gevonden dat er misbruik van het lek is gemaakt en noemt de Lektober-actie goed en nuttig.