Kasboek.nl lekt miljoen transacties
Gepubliceerd: Woensdag 6 oktober 2010
Auteur: Andreas Udo de Haes
Op boekhoudsite Kasboek.nl stond een directory open met duizenden csv-bestanden met in totaal meer dan 1 miljoen banktransacties, zoals betalingen en salarissen. Plus namen en adressen.
In een open directory van Kasboek.nl stonden bijna 9000 onversleutelde csv-bestanden, die door gebruikers waren upgeload, meldt Tweakers.net.
Extreem privacygevoelig
De bestanden bevatten naast de transacties nog veel meer uiterst privacygevoelige informatie zoals naam, adres en bankrekeningnummer. Op de open directory stonden meer dan 1 miljoen bankmutaties met een totale waarde van 200 miljoen euro.
Het is nog niet duidelijk hoe lang de privacygevoelige bestanden toegankelijk waren en of en hoe vaak ze zijn benaderd. De woordvoerder van de Kasboek-exploitant Invers noemt het tegenover Tweakers een 'foutje', maar bezweert in tweede instantie dat het genante lek 'uiterst serieus' wordt genomen.
Geen https
De zegsman kan echter geen nadere uitleg geven. Invers komt nog met een uitgebreide verklaring en excuses voor de klanten, belooft hij. "Daar leggen we ook precies uit wat er mis is gegaan en wat we al doen op het gebied van beveiliging, en dat is best veel."
Een blik op Kasboek.nl leert echter dat standaard géén beveiligde verbinding wordt geboden voor het registreren of het inloggen van gebruikers. Bij het inloggen wordt overigens wel beveiliging gesuggereerd door de subsite secure.kasboek, maar het gaat hier niet om een https-verbinding. De zegsman kan ook daarover geen uitleg geven. Kasboek heeft naar eigen zeggen zo'n 25.000 actieve gebruikers.
