Het gaat om data die op een server van het voormalige DistriQ staat. Die organisatie houdt zich bezig met de bezorging van kranten, zoals de Telegraaf en enkele andere kranten. Het bedrijf dat nu TMG Distributie (Telegraaf Media Groep) heet, blijkt op een server de gegevens van potentiële bezorgers bij te houden.

Eenvoudig toegankelijk

Het lek wordt veroorzaakt door een verouderde databasesoftware. Zo gebruikt het bedrijf als database MySQL versie 4.1.5, terwijl de actuele versie 5.5.21 is. In de gebruikte versie zitten diverse lekken waardoor aanvallers zichzelf toegang tot de privacygevoelige gegevens kunnen verschaffen.

Op de database wordt gewerkt met PHPMyAdmin versie 2.6.4-pl2, waarin ook zwakheden zitten. De laatste versie van die software is versie 3.4.10.1. TMG draait programmatuur op het Linux-besturingssysteem Debian, maar heeft ook daar niet de laatste patches gedraaid.

Toch hoeft dat allemaal geen ingang te vormen voor mensen om bij de data te komen. Maar de PHPMyAdmin-interface maakt toegang eenvoudig, omdat aanmelden als beheer gebeurt met gebruiker 'admin' en het wachtwoord 'manager'.

Diverse databases

De meeste bezorgers zijn jongeren onder de 18 jaar, die zich in de laatste jaren hebben aangemeld met hun persoonsgegevens. Daarbij gaat het om naam, adres, woonplaats, geboortedatum, telefoonnummer, geslacht, gecodeerd wachtwoord en beschikbaarheid om kranten rond te brengen. Het ogenschijnlijk gebruikte bestand bevat de gegevens van 58.473 bezorgers. Diezelfde data komt ook voor in een testtabel, maar beslaat dan 113.358 mensen en in een database 'itrendsbump' nog eens 128.001 personen.

Daarnaast zijn de logingegevens van zo'n 496 medewerkers in de database te vinden. Omdat de wachtwoorden te kraken zijn, zullen deze vervangen moeten worden in het systeem en op alle locaties waar mensen hetzelfde wachtwoord gebruiken.

Niet vrolijk

“Ja dit slaat nergens op. Jij mag mijn nummer niet eens hebben", zegt een verontwaardigde bezorger tegenover Webwereld. Hij erkent tegenover Webwereld dat hij zijn gegevens heeft opgegeven, net als twee andere bezorgers op de lijst. Hij is van tevoren niet door de Telegraaf op de hoogte gesteld van het lek. “De Telegraaf heeft mij niets verteld. Ik weet niet wat ze met mijn gegevens allemaal hebben gedaan. Leuk is het niet."

In een reactie erkent TMG het probleem met de site. “Die site is onze verantwoordelijkheid, maar hij staat bij een derde partij. Men was net bezig hem op te ruimen, want we gebruiken hem niet meer", vertelt Hans Elekan, hoofd communicatie van TMG. “Dat hoort niet zo. Het is buitengewoon slordig."