Gebruikers van de site, die zich als abonnee aanmelden, krijgen een bevestigingspagina te zien. Maar in plaats van deze dynamisch te tonen werd een apart bestand aangemaakt, dat vervolgens niet werd verwijderd.

Persoonlijke gegevens

In het bevestigingsbericht staat naast naam, telefoonnummer en adresgegevens ook het bankrekeningnummer vermeld. Het aangemaakte bestand dat deze persoonlijke gegevens bevat, is op zich lastig te vinden ware het niet dat Google het al heeft geïndexeerd.

Dat ontdekte beveiligingsexpert Geert Booster, nieuwe abonnee van Bright, tijdens een zoekactie naar zijn eigen GSM-nummer: "Door wat verder te zoeken bleek het heel erg fout te zitten en meer informatie beschikbaar te zijn."

Logboek

Een ander bestand dat ook beschikbaar blijkt, heeft niet alleen klantgegevens maar ook informatie uit de logboeken. Zo blijkt dat er de laatste tijd 11 pogingen zijn gedaan om een XSS-aanval op de website van Bright uit te voeren.

Voor Booster was het aanleiding dit weekend contact te zoeken met Bright. De uitgave reageerde snel, maar had wel even nodig om de problemen te verhelpen. Vandaag zijn de gegevens verwijderd en is ook Google gevraagd de cache op te schonen. Inmiddels is dat ook gebeurd.

Overigens is niet het hele klantenbestand te benaderen, maar alleen de meest recente klanten. Voor hoofdredacteur Erwin van der Zande maakt dat niet veel uit, hij noemt het probleem erg serieus. "We hebben natuurlijk snel gehandeld."

Op scherp

"Dit is natuurlijk niet de bedoeling en niet netjes", stelt van der Zande. Hij baalt van het incident en typeert het als: "Het is net of er poep op je raam zit." Voor hem is het duidelijk dat de boel op scherp is gezet. "Ja, de week is weer begonnen."

Booster zegt tevreden te zijn over de afhandeling. "Er is vandaag netjes gehandeld", stelt hij. "Wel is het jammer dat het al sinds 13 februari online staat. Maar toen ze zeker waren dat er wat was gebeurd, hebben ze ook wel gerend."

Voor hem is het incident een slecht teken, maar wel eentje met een beperkte omvang. "We hebben het over 70 tot 80 abonnees en het zijn mensen die zich hebben aangemeld via de website. Het had erger kunnen zijn, maar het lijkt slechts een deel van het klantenbestand te zijn. Tenminste, ik hoop dat ze meer dan 70 abonnees hebben."

Het is niet de eerste keer dit jaar dat Bright problemen heeft met de website. In januari bleek een aanvaller de site voor Google onzichtbaar te hebben gemaakt, waardoor het bezoek kelderde.