Datalek: BOVAG database staat open
04/11
2011
2011
Door wat adressen van pagina’s te manipuleren was de hele database van een website van de BOVAG te benaderen. Uit de open database konden namen, e-mailadressen en versleutelde wachtwoorden van alle BOVAG-bedrijven lekken. Ook persoonsgegevens en e-mailadressen van bezoekers die zich op de site registreerden om te kunnen reageren waren toegankelijk. Bovendien konden kwaadwillenden valse reviews indienen met een willekeurig account van een ander.
In de applicatie werd geen enkele validatie gedaan op de invoer van een gebruiker. Foutmeldingen van de databank werden op het scherm van de bezoeker getoond en zonder veel moeite was de hele databank bloot te leggen. De website is geleverd door KlantenVertellen, dat op zijn beurt het bedrijf FullWebService inhuurde voor het programmeerwerk. Alle betrokken partijen zijn door Webwereld op de hoogte gebracht. Het datalek is inmiddels gedicht.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper.
Datum: vrijdag 4 november 2011, 15:48
Bron: BitsOfFreedom
Categorie: Internet en ICT
Gerelateerde berichten:
- Datalek: VARA website lekt 19.000 e-mailadressen (20/07/11 15:49)
- Datalek: Amsterdams escortbureau lekt gegevens (21/10/11 10:18)
- Datalek: Psychologen website lek door SQL-injectie (25/10/11 16:13)
- Datalek: Gemeente Den Helder lekt gegevens 1600 burgers (31/08/11 10:36)
- Datalek: Beauty.nl en Recreatief.nl lekken 315.000 gegevens (16/01/12 16:04)
Reacties:
Er zijn nog geen reacties op dit bericht.