Groot privacylek bij Vuurwerk door slechte beveiliging
Gepubliceerd: Woensdag 24 mei 2000
Auteur: Joris Evers
Gegevens van vrijwel alle klanten van hostingspecialist Vuurwerk Internet hebben enkele dagen op straat gelegen.
Het gaat om 24.884 gescande contracten voor alle diensten die Vuurwerk, een dochter van het beursgenoteerde telecombedrijf Versatel, biedt. De contracten zijn geïndexeerd in een apart bestand, wat het zoeken naar bepaalde informatie vergemakkelijkt. In de documenten staan volledige klantgegevens als naam, bedrijfsnaam, adres, telefoonnummer en een handtekening.
Vuurwerk, de grootste hostprovider van Nederland, geeft toe dat haar systeem onvoldoende was 'dichtgetimmerd'.
"De scans stonden er net een paar dagen op", zegt directeur Hans Bennink. "We zijn een online zoeksysteem aan het opzetten, dan hoeven de medewerkers niet steeds naar de archiefkast te lopen. We waren nog bezig met de beveiliging. Het verbaast me wel dat de bestanden op een machine stonden waar klanten bij kunnen." Volgens Bennink gaat het om alle Vuurwerk-contracten tot 1 januari dit jaar.
Na melding door WebWereld is dinsdagmiddag de beveiliging aangepast.
Telnet-lek
WebWereld kreeg enkele scans van contracten toegestuurd. Volgens de tipgever, een klant van Vuurwerk die anoniem wenst te blijven, waren de bestanden toegankelijk voor vrijwel alle Vuurwerk-klanten. De plek waar de data stonden was bereikbaar via telnet. Technici van Vuurwerk hadden verzuimd de juiste toegangsrestricties in te stellen.
Niet alleen de scans lagen op straat. De geschokte Vuurwerk-klant stuitte na wat 'rondsnuffelen' op een directory van een Vuurwerk-medewerker met daarin een Excel-bestand. Het bestand bevat de volledige gegevens van nog eens honderden Vuurwerk-klanten, onder meer omroepvereniging TROS en de Internet Society Nederland (ISOC).
Of de klantgegevens in verkeerde handen zijn gevallen, is niet bekend. De concurrentie op de hostingmarkt is groot. Een bestand met gegevens van vrijwel alle klanten van marktleider Vuurwerk is zeer waardevol.
Het is niet de eerste keer dat Vuurwerk wordt betrapt op slechte beveiliging. In augustus vorig jaar bleek dat klanten via telnet vertrouwelijke gegevens van andere klanten konden bekijken.
