Lek6: Escortservice lekt email-adressen

Een simpele SQL-injectie was opnieuw voldoende om aan de informatie te komen. De service, die zelfs in de naam al aangeeft dat alle informatie geheim blijft, slaat emailadressen op onder andere voor het versturen van een nieuwsbrief. Ook moeten klanten hun naam en adres achterlaten als ze vragen of opmerkingen hebben.

824 klanten

De namen zijn ongetwijfeld gefingeerd, maar de email-adressen zijn geldig. Verder zijn van de gebruikers de naam, gebruikersnaam, wachtwoord en datum te zien. De mailinglijst bevat 824 klanten. Er is ook een tabel met members in te zien.

De escortservice was niet bereikbaar voor commentaar, dus helaas kunnen we de naam ervan nog niet vrijgeven. Dit zullen we komende week alsnog doen.

Gemeente Amsterdam

Ook staat opnieuw de website van de gemeente Amsterdam ter discussie. Herbert Kuiling tipte Webwereld dat voor de teruggave van leges voor een ID-kaart een brief is verstuurd. Naast een strookje dat kan worden ingevuld is het mogelijk de teruggave via een online formulier te regelen. Dit wordt echter niet gecontroleerd of afgedekt met DigiD. Daardoor is het mogelijk een teruggave via een andere bankrekening te laten lopen. Dat is geen technisch lek, maar wel een tekortkoming in de procedure.

Te weinig gelet op beveiliging

Het lek is via de Vereniging Nederlandse Gemeenten aangebracht. Inmiddels is het probleem onderzocht en belooft de gemeente wel controles te gaan uitvoeren op de transacties.

Via de VNG wordt benadrukt dat de gemeente hier wel heeft gelet op klantvriendelijkheid en te weinig op beveiliging. De teruggave beslaat een periode vanaf 2010, waardoor het in potentie veel burgers betreft.

Webwereld sluit hiermee de eerste week van Lektober af. In totaal zijn inclusief vooraankondiging 12 lekken aan het licht gebracht.

Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.