Datalek: website integriteitsbureau lek

Bits of Freedom heeft haar Zwartboek Datalekken alweer uitgebreid. De website van Bureau Integriteitsbevordering Openbare Sector (BIOS) lekte informatie.

Ook deze website bleek gevoelig voor SQL-injecties. De invoer van de gebruiker, zoals het paginanummer of een zoekterm, wordt dan onvoldoende gecontroleerd. De gebruiker kan daardoor extra opdrachten aan de databank achter de website geven. Op die manier wordt informatie toegankelijk die dat anders niet is. De bouwer van een website kan dat tegengaan door alle invoer van gebruikers te controleren. Het is duidelijk dat dat bij BIOS dus niet goed is gedaan. Onder meer namen en wachtwoorden van abonnees op een nieuwsbrief werden publiek.

De beheerder stelt dat het gaat om een “menselijke fout”. Nadat bekend werd dat de website onbedoeld informatie lekte, werd de website offline gehaald. Dat gebeurde vanwege de grote toeloop en niet omdat de website lek was, zo citeert Webwereld de beheerder.

Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper (PDF) (HTML).

Gerelateerde berichten:

• Datalek: Gemeente Den Helder lekt gegevens 1600 burgers (31/08/11 10:36)
• Datalek: Zorgnet Limburg lekt prive gegevens (26/09/11 11:51)
• Datalek: Psychologen website lek door SQL-injectie (25/10/11 16:13)
• Datalek: Amsterdams escortbureau lekt gegevens (21/10/11 10:18)
• Datalek: beleggen is risico’s nemen (18/08/11 11:30)

Reacties:

Er zijn nog geen reacties op dit bericht.